時(shí)間:2022-06-10 01:58:35
導(dǎo)語:在信息安全風(fēng)險(xiǎn)管理的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
多年來,許多組織大部分專注于病毒、垃圾郵件、混合威脅以及間諜軟件所代表的外部威脅。根據(jù)IDC的報(bào)告,全球信息安全遵從性和控制市場的價(jià)值在2005年大約是57.9億美元,而在2010年這一價(jià)值將達(dá)到149.2億美元。 在邁克菲近期的2007年十大威脅中,研究人員發(fā)現(xiàn)了創(chuàng)建惡意軟件的專業(yè)和有組織的犯罪不斷增長的證據(jù),這些網(wǎng)絡(luò)犯罪都有一個(gè)負(fù)責(zé)創(chuàng)建惡意軟件的團(tuán)隊(duì),并且測試和自動(dòng)生成及傳播。
構(gòu)建風(fēng)險(xiǎn)管理戰(zhàn)略
IT管理人員每天都會(huì)接到有關(guān)系統(tǒng)漏洞、新軟件漏洞或新惡意代碼的警報(bào),所有這些警報(bào)的安全級(jí)別很難一下子判斷出來。因此,結(jié)果往往是 IT 人員不由自主地被這類事務(wù)牽著鼻子走,采取既耗時(shí)又費(fèi)力的行動(dòng),比如查漏洞、打補(bǔ)丁等。然而,這些行動(dòng)不見能夠真正起到防護(hù)的作用。
安全風(fēng)險(xiǎn)管理可以為企業(yè)提供必要的流程來提高安全性和法規(guī)遵從性。安全風(fēng)險(xiǎn)管理的實(shí)施離不開CIO、IT 操作人員、網(wǎng)絡(luò)安全人員及業(yè)務(wù)主管人員的通力協(xié)作。由于有些系統(tǒng)和應(yīng)用程序更容易暴露在風(fēng)險(xiǎn)之中,而IT部門無法獨(dú)自確定企業(yè)可承受的風(fēng)險(xiǎn)等級(jí)。因此,IT 和業(yè)務(wù)管理人員需要通力合作來幫助企業(yè)確定資產(chǎn)優(yōu)先級(jí)和最大限度地降低風(fēng)險(xiǎn)。
安全團(tuán)隊(duì)可以建立明智的風(fēng)險(xiǎn)管理戰(zhàn)略,使有限的資源可以集中于應(yīng)對(duì)企業(yè)面臨的最大威脅。任何公司都不會(huì)有足夠多的財(cái)力和人力用于完全消除其與 IT 相關(guān)的潛在風(fēng)險(xiǎn)。因此,將所面臨的各種風(fēng)險(xiǎn)量化,然后據(jù)此確定安全投資的優(yōu)先順序勢所必然。
新模型的三要素
為了量化風(fēng)險(xiǎn)并確定補(bǔ)救措施的優(yōu)先順序,目前業(yè)內(nèi)比較前沿的一個(gè)模型從三個(gè)方面測量風(fēng)險(xiǎn):資產(chǎn)價(jià)值、資產(chǎn)易受攻擊程度以及各種現(xiàn)實(shí)威脅。
資產(chǎn)價(jià)值:每分鐘需處理價(jià)值數(shù)千美元交易的服務(wù)器顯然要比客戶服務(wù)代表的桌面機(jī)更為重要。因此,制定降低風(fēng)險(xiǎn)的明智戰(zhàn)略需要清楚了解整個(gè)企業(yè)中各類 IT 資產(chǎn)所代表的企業(yè)價(jià)值。
資產(chǎn)易受攻擊程度:除具有不同的企業(yè)價(jià)值外,IT 資產(chǎn)存在其固有的不同程度的軟肋。提供公共網(wǎng)頁的系統(tǒng)比起根本就不連接到 Internet 的系統(tǒng)來,肯定更容易受到攻擊。鎖在配線櫥柜中的交換機(jī)要比距離公司安全數(shù)千英里遠(yuǎn)的膝上電腦更安全。
現(xiàn)實(shí)威脅:安全團(tuán)隊(duì)還必須清楚了解任何現(xiàn)有資產(chǎn)所面臨的各種現(xiàn)實(shí)威脅。雖然運(yùn)行在舊式系統(tǒng)上的舊應(yīng)用程序可能對(duì)公司具有很高的價(jià)值,但它們受威脅的可能性會(huì)更小一些,因此對(duì)公司來說,它們所面臨的風(fēng)險(xiǎn)可能要比運(yùn)行在 Windows 或 Linux 上的應(yīng)用程序所面臨的風(fēng)險(xiǎn)要小很多。
把這三個(gè)因素結(jié)合起來考慮,安全團(tuán)隊(duì)就能準(zhǔn)確了解企業(yè)最大的威脅存在于何處,并據(jù)此確定風(fēng)險(xiǎn)緩解行動(dòng)的優(yōu)先順序。風(fēng)險(xiǎn)可以通過綜合考慮資產(chǎn)的企業(yè)價(jià)值、其固有的易受攻擊程度以及它實(shí)際面臨的各種威脅的強(qiáng)度計(jì)算出來。除了解具體的風(fēng)險(xiǎn)等級(jí)外,安全團(tuán)隊(duì)還可以拓寬解決 IT 相關(guān)風(fēng)險(xiǎn)的視角,以便顯著增強(qiáng)其措施的有效性。Kurtz 提出了四種可能的風(fēng)險(xiǎn)管理戰(zhàn)略:風(fēng)險(xiǎn)減輕、風(fēng)險(xiǎn)接受、風(fēng)險(xiǎn)轉(zhuǎn)移和風(fēng)險(xiǎn)回避。風(fēng)險(xiǎn)減輕:這通常是人們碰到風(fēng)險(xiǎn)時(shí)頭腦中的第一反應(yīng),它包括安全團(tuán)隊(duì)針對(duì)威脅所采取的各種應(yīng)對(duì)措施;接受風(fēng)險(xiǎn):如果解決風(fēng)險(xiǎn)的成本大于風(fēng)險(xiǎn)本身,或者解決該風(fēng)險(xiǎn)將使資源無法用來解決更為嚴(yán)重的風(fēng)險(xiǎn),合理的行動(dòng)可能就是接受該風(fēng)險(xiǎn);風(fēng)險(xiǎn)轉(zhuǎn)移:在某些情況下,當(dāng)將風(fēng)險(xiǎn)轉(zhuǎn)移給第三方(如,保險(xiǎn)公司)比將有限的資源用于可能并不能產(chǎn)生明顯效果的風(fēng)險(xiǎn)減輕行動(dòng)時(shí),采取前一種方式是更為審慎的選擇;規(guī)避風(fēng)險(xiǎn):有時(shí)還會(huì)碰到這樣一些情況,不僅風(fēng)險(xiǎn)的等級(jí)很高,而且解決該風(fēng)險(xiǎn)的成本也達(dá)到了無法接受的地步。在這種情況下,最好的辦法是完全規(guī)避風(fēng)險(xiǎn),撤掉可能會(huì)帶來這樣風(fēng)險(xiǎn)的系統(tǒng),或者不將其部署在最重要的位置。
目前,我國商業(yè)銀行種類繁多,所以商業(yè)銀行在風(fēng)險(xiǎn)管理方面涉及的范圍也很廣泛。本文將從宏觀角度研究探索,主要從我國商業(yè)銀行的經(jīng)營過程中信息安全風(fēng)險(xiǎn)分析,該安全風(fēng)險(xiǎn)包括技術(shù)和管理風(fēng)險(xiǎn)兩類。文章將側(cè)重講述我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系構(gòu)架。
【關(guān)鍵詞】商業(yè)銀行 信息安全 風(fēng)險(xiǎn)管理 體系構(gòu)架
在我國加入世貿(mào)組織后,在市場經(jīng)濟(jì)的影響下逐步形成一個(gè)與全球經(jīng)濟(jì)同步的開放整體,我國很多商業(yè)銀行都開始設(shè)立國外分行,同時(shí),國外銀行也在不斷開拓國內(nèi)市場,這就表明,我國商業(yè)銀行信息系統(tǒng)安全隱患也將由國內(nèi)范圍加深到世界范圍。這時(shí)候,應(yīng)該從分析了解我國商業(yè)銀行信息系統(tǒng)特性著手,準(zhǔn)備把握我國商業(yè)銀行信息系統(tǒng)的安全風(fēng)險(xiǎn)信息,也可借鑒國外已經(jīng)成熟了的銀行信息系統(tǒng)安全管理體制,再根據(jù)本行的信息安全系統(tǒng)的特點(diǎn),構(gòu)建并完善我國商業(yè)銀行信息系統(tǒng)安全風(fēng)險(xiǎn)管理體制,及時(shí)防范并有效降低我國商業(yè)銀行信息的安全損害,確保我國商業(yè)銀行的信息安全,已經(jīng)成為我國金融機(jī)構(gòu)熱議的話題,必須引起銀行以及監(jiān)督管理機(jī)構(gòu)的重視。
1 我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理現(xiàn)狀
1.1 信息安全與風(fēng)險(xiǎn)管理
廣義上來說,信息安全是在特定社會(huì)背景下,國家為維護(hù)自身信息安全、低于國外信息威脅利用信息安全的通訊技術(shù)、網(wǎng)絡(luò)IT技術(shù)的一種能力。從狹義上來講,信息安全就是信息內(nèi)容不被隨意泄漏和改變,信息體統(tǒng)不受威脅與攻擊。當(dāng)前,風(fēng)險(xiǎn)管理已經(jīng)在國際上越來越廣泛地被運(yùn)用,有效的風(fēng)險(xiǎn)管理不但可以削減企業(yè)經(jīng)營風(fēng)險(xiǎn),還能夠在企業(yè)決策上提供一定的支持,保障企業(yè)的可持續(xù)發(fā)展。所以,風(fēng)險(xiǎn)管理有非常巨大的存在意義。風(fēng)險(xiǎn)管理是信息安全的基本觀念。目前,普遍認(rèn)為信息安全是識(shí)別信息系統(tǒng)風(fēng)險(xiǎn),并能夠采取相應(yīng)措施不斷完善信息系統(tǒng)的一個(gè)過程。
1.2 網(wǎng)絡(luò)風(fēng)險(xiǎn)
在管理商業(yè)銀行信息系統(tǒng)時(shí),一定要非常謹(jǐn)慎的對(duì)待風(fēng)險(xiǎn)管理過程。在評(píng)估風(fēng)險(xiǎn)時(shí),可能會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)被沒有被充分的保護(hù),需要增加一些軟件、硬件或者是加強(qiáng)安全管理意識(shí)等進(jìn)行充分保護(hù)。網(wǎng)絡(luò)安全能夠平衡銀行業(yè)務(wù)、客戶功能和速度。要證明減少某些操作是無誤的,比如關(guān)閉Active,該行為的發(fā)生必須在能夠保證銀行業(yè)務(wù)和用戶在一個(gè)安全的環(huán)境下。企業(yè)最高決策機(jī)構(gòu)必須時(shí)刻強(qiáng)調(diào)時(shí)刻注意企業(yè)的安全,以風(fēng)險(xiǎn)管理為原則不斷識(shí)別企業(yè)網(wǎng)絡(luò)存在的安全隱患,能準(zhǔn)確判斷網(wǎng)絡(luò)容易受到攻擊地方,并能夠從根本上加強(qiáng)保護(hù)。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ),主要根據(jù)三個(gè)步驟來實(shí)現(xiàn)風(fēng)險(xiǎn)評(píng)估:
1.2.1 網(wǎng)絡(luò)價(jià)值的判斷
一定要從銀行的有形資產(chǎn)和無形資產(chǎn)兩方面考慮來評(píng)估商業(yè)銀行的網(wǎng)絡(luò)價(jià)值。比如,在系統(tǒng)出現(xiàn)故障的時(shí)候,要考慮到該故障會(huì)對(duì)企業(yè)的財(cái)政收入造成的影響;在網(wǎng)絡(luò)出現(xiàn)故障時(shí),要考慮修復(fù)網(wǎng)絡(luò)需要花費(fèi)的人力、物力成本,重建網(wǎng)絡(luò)信息要消耗的資金;在商業(yè)銀行網(wǎng)絡(luò)中有重要信息被泄漏,要考慮到整個(gè)公司的財(cái)政將會(huì)受到多大的影響。
1.2.2 定義威脅
商業(yè)銀行的網(wǎng)絡(luò)和網(wǎng)絡(luò)數(shù)據(jù)經(jīng)常會(huì)很容易被內(nèi)外部環(huán)境的威脅攻擊。所以,了解每種類型的威脅是非常必要的,還要盡可能多的鑒別可能存在的威脅。目前,很多管理網(wǎng)絡(luò)的人員都并不能清楚理解環(huán)境自身的威脅。內(nèi)部威一般很常見也很容易定義、識(shí)別。外部威脅就相對(duì)較難定義,首先要做的是判斷破壞機(jī)密文件的以未授權(quán)方式的患者記錄或者信用卡號(hào)。可能是企業(yè)的競爭對(duì)手為了找到銀行客戶資料,也可能是為了改變銀行的數(shù)據(jù)并破壞數(shù)據(jù)的可用性的黑客所為;準(zhǔn)確判斷網(wǎng)絡(luò)容易受攻擊的地方。安全弱點(diǎn)就是已經(jīng)被識(shí)別的威脅,按等級(jí)分類所識(shí)別的威脅:威脅的關(guān)注度、威脅的可行性。
1.2.3 設(shè)定方案
如何執(zhí)行一個(gè)安全的解決方案是網(wǎng)絡(luò)風(fēng)險(xiǎn)管理過程中的最后一步。該方案需要從以下幾方面著手:加強(qiáng)客戶以及網(wǎng)絡(luò)管理人員的安全防范意識(shí);改變并創(chuàng)新網(wǎng)絡(luò)結(jié)構(gòu);穩(wěn)固安全硬件;關(guān)閉銀行中有安全威脅的并不常用或者根本就不需要的測試、服務(wù)以及補(bǔ)丁程序。
網(wǎng)絡(luò)風(fēng)險(xiǎn)主要表現(xiàn)在這幾個(gè)方面:安全性風(fēng)險(xiǎn)、網(wǎng)絡(luò)故障風(fēng)險(xiǎn)、法律媒體風(fēng)險(xiǎn)。防范網(wǎng)絡(luò)風(fēng)險(xiǎn)需要對(duì)網(wǎng)絡(luò)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估,建立網(wǎng)絡(luò)安全管理構(gòu)架,最后制定一系列安全防范措施。評(píng)估風(fēng)險(xiǎn)首先需要企業(yè)內(nèi)部專門的網(wǎng)絡(luò)安全管理人員分析并診斷企業(yè)網(wǎng)絡(luò)安全的狀況,然后從管理與技術(shù)兩個(gè)方面探討研究網(wǎng)絡(luò)安全問題的存在。網(wǎng)絡(luò)安全管理體系架構(gòu)需要考慮到的網(wǎng)絡(luò)風(fēng)險(xiǎn)的幾個(gè)方面:通過完善網(wǎng)絡(luò)設(shè)備性能、提高網(wǎng)絡(luò)承受力、先進(jìn)傳輸技術(shù)的引進(jìn)以及定期核查網(wǎng)絡(luò)設(shè)備的方式來避免網(wǎng)絡(luò)故障風(fēng)險(xiǎn);通過加強(qiáng)宣傳并提高社會(huì)成員法律安全意思制定一定的法律條款來防范法律媒體風(fēng)險(xiǎn);通過增加設(shè)立持續(xù)不斷的電源、增加投保企業(yè)保險(xiǎn)、加強(qiáng)網(wǎng)絡(luò)機(jī)器安全管理等方法來避免網(wǎng)絡(luò)安全風(fēng)險(xiǎn)中如斷電、火災(zāi)等的自然風(fēng)險(xiǎn)。針對(duì)網(wǎng)絡(luò)自身的風(fēng)險(xiǎn)以及網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn),需要遵循一定的有限級(jí)有條理有選擇的來解決來自數(shù)據(jù)、應(yīng)用、系統(tǒng)、網(wǎng)絡(luò)的信息安全問題。利用防火墻技術(shù)、安全監(jiān)督體制、IT設(shè)計(jì)工具、VNP設(shè)備、數(shù)據(jù)加密技術(shù)以及數(shù)字簽名等技術(shù)保障網(wǎng)絡(luò)風(fēng)險(xiǎn)的最小化,并制定符合法律規(guī)則的有一定安全標(biāo)準(zhǔn)的全面完善的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理體制。
1.3 外包業(yè)務(wù)風(fēng)險(xiǎn)
當(dāng)前,我國商業(yè)銀行中有一大部分的銀行屬于中小型銀行,在資金水平以及信息技術(shù)能力的限制下,缺乏獨(dú)立的信息系統(tǒng)開發(fā)能力,只有通過業(yè)務(wù)的外包來滿足銀行信息系統(tǒng),導(dǎo)致大量的銀行核心代碼分散到外包公司信息系統(tǒng)中。如果商業(yè)銀行在這種情況下沒有謹(jǐn)慎對(duì)待外包商、依據(jù)法律條款簽訂相應(yīng)的協(xié)議、明確協(xié)議雙方的職責(zé),那么,銀行信息系統(tǒng)的信息安全以及系統(tǒng)業(yè)務(wù)的可持續(xù)性將會(huì)受到加大的威脅。與此同時(shí),在銀行維護(hù)信息系統(tǒng)的時(shí)候,外包公司審核的不夠嚴(yán)謹(jǐn),沒能積極修復(fù)系統(tǒng)漏洞、優(yōu)化信息系統(tǒng),也會(huì)威脅到銀行信息系統(tǒng)的安全。銀行在與外包公司簽訂合同協(xié)議的時(shí)候,如果沒有做好協(xié)議數(shù)據(jù)保密工作、外包公司蓄意泄密或者轉(zhuǎn)包服務(wù)等情況,都會(huì)產(chǎn)生信息安全風(fēng)險(xiǎn),甚至?xí)o銀行帶來銷毀性的打擊。
2 我國商行銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu)
我國商業(yè)銀行存在一定信息安全風(fēng)險(xiǎn)是必然的,即使不能避免和杜絕這種風(fēng)險(xiǎn),也要采取相應(yīng)的措施最大程度的控制、削減、化解風(fēng)險(xiǎn)的發(fā)生頻率。我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu)主要從技術(shù)、運(yùn)作以及管理組織平臺(tái)三方面設(shè)計(jì)。
2.1 管理組織平臺(tái)
風(fēng)險(xiǎn)管理組織平臺(tái)處于我國商行銀行信息安全風(fēng)險(xiǎn)管理體系的最高層,為整個(gè)管理體系提供策略性的引導(dǎo)。主要從商業(yè)銀行信息安全風(fēng)險(xiǎn)管理的制度與策略、管理人才以及組織機(jī)構(gòu)三方面著手。
2.2 運(yùn)行平臺(tái)
我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的中間部分就是風(fēng)險(xiǎn)管理的運(yùn)行平臺(tái),也是商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的核心與主體部分。風(fēng)險(xiǎn)運(yùn)行的整個(gè)過程包含了風(fēng)險(xiǎn)的識(shí)別、評(píng)估以及應(yīng)對(duì)等諸多活動(dòng),著重體現(xiàn)一種風(fēng)險(xiǎn)管理持續(xù)完善的理念。該過程依據(jù)PDCA模式,嚴(yán)格按照計(jì)劃、實(shí)施、改進(jìn)的管理模式管理商業(yè)銀行信息安全風(fēng)險(xiǎn),持續(xù)完善商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu),有利于銀行創(chuàng)建良好的安全的信息環(huán)境。
2.3 技術(shù)平臺(tái)
商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的最底層便是風(fēng)險(xiǎn)管理的技術(shù)平臺(tái)。技術(shù)平臺(tái)為運(yùn)行與組織平臺(tái)的創(chuàng)建和實(shí)施提供有力的技術(shù)支持,也為我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系提供了安全性技術(shù)保障。從時(shí)效上將技術(shù)平臺(tái)分為預(yù)防、實(shí)時(shí)跟蹤以及事后恢復(fù)三大技術(shù)。
我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系架構(gòu)主要從技術(shù)平臺(tái)、運(yùn)行平臺(tái)、組織平臺(tái)三方面的構(gòu)建組成。風(fēng)險(xiǎn)管理組織平臺(tái)的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的重要組成部分,為整個(gè)管理體系提供策略性的引導(dǎo);風(fēng)險(xiǎn)管理運(yùn)行平臺(tái)的構(gòu)建是我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的核心組成部分,風(fēng)險(xiǎn)管理的運(yùn)行過程嚴(yán)格遵循PDCA的循環(huán)定律。通過資產(chǎn)、威脅、脆弱性三方面的評(píng)估形成對(duì)應(yīng)的資產(chǎn)、威脅、脆弱性信息,為滿足銀行業(yè)務(wù)的需求,可以采取轉(zhuǎn)移風(fēng)險(xiǎn)法、規(guī)避風(fēng)險(xiǎn)法、接受風(fēng)險(xiǎn)法以及消減風(fēng)險(xiǎn)法加以應(yīng)對(duì)我國商業(yè)銀行信息安全風(fēng)險(xiǎn)。具體利用數(shù)字加密技術(shù)、身份認(rèn)證技術(shù)、控制訪問技術(shù)、檢測入侵技術(shù)、數(shù)據(jù)備份以及恢復(fù)技術(shù)為我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的構(gòu)架提供安全有力的技術(shù)支持。
在我國商行銀行信息安全風(fēng)險(xiǎn)管理體系基本構(gòu)建完成后,還需要對(duì)該體系做出評(píng)審、改建意見以及相關(guān)說明等后期工作。該后期工作的主要內(nèi)容包括內(nèi)部審計(jì)、外部審計(jì)以及文件管理。需要注意的是,在審計(jì)過程中,常常會(huì)遇到銀行信息系統(tǒng)中的大量的銘感信息,假若不能夠正確處理審計(jì)過程中遇到的銀行敏感信息將會(huì)給銀行的信息安全帶來不可忽視的威脅,所以,加強(qiáng)嚴(yán)格管理與控制我國商業(yè)銀行的外部審計(jì)是我國商業(yè)銀行當(dāng)前面臨的一項(xiàng)刻不容緩的任務(wù)。銀行最高決策機(jī)構(gòu)應(yīng)該依據(jù)法律制度,設(shè)計(jì)出相應(yīng)的整改方案,并定期實(shí)施有效方案,提高我國商業(yè)銀行信息的安全度,保障我國商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的成功構(gòu)建。
3 結(jié)束語
信息在網(wǎng)絡(luò)信息迅速發(fā)展的背景下已經(jīng)成為一項(xiàng)可貴的必不可少的資源。一般來講,掌握的信息越多、越準(zhǔn)確就越有取勝以及權(quán)威的先機(jī)。信息對(duì)于我國商業(yè)銀行這樣一個(gè)特別的行業(yè)更是非常重要。在商業(yè)銀行網(wǎng)絡(luò)與業(yè)務(wù)規(guī)模不斷擴(kuò)大的背景下,我國商業(yè)銀行在信息安全保護(hù)方面面臨嚴(yán)峻的考驗(yàn),所以,保障商業(yè)銀行信息安全風(fēng)險(xiǎn)管理體系的安全已經(jīng)成為目前金融行業(yè)重要的使命。
參考文獻(xiàn)
[1]陳小娟.我國銀行信息安全風(fēng)險(xiǎn)管理體系研究[D].蘇州大學(xué),2013.
電力企業(yè)信息系統(tǒng)是基于電腦和網(wǎng)絡(luò),實(shí)現(xiàn)電力制造、管理等信息的收集、存儲(chǔ)、分析及傳輸?shù)木C合性的有機(jī)系統(tǒng)。[1]信息作為一種重要的企業(yè)資源必須要對(duì)其進(jìn)行全面的安全管理,企業(yè)信息安全管理是引導(dǎo)和協(xié)調(diào)組織的關(guān)于信息化安全風(fēng)險(xiǎn)的互相協(xié)調(diào)的活動(dòng),即企業(yè)管理層對(duì)企業(yè)相關(guān)信息和活動(dòng)安排進(jìn)行合理的規(guī)劃和協(xié)調(diào)。一直以來,很多人特別是對(duì)于信息行業(yè)出身的工作人員,都受環(huán)境影響而陷入“技術(shù)就是一切”的誤區(qū)中,即人們把企業(yè)信息安全的全部希望都寄托在加密技術(shù)上,他們認(rèn)為只要通過加密技術(shù),任何信息安全問題都能夠解決。隨著網(wǎng)絡(luò)防火墻技術(shù)的誕生,我們又常聽到“防火墻是網(wǎng)絡(luò)安全的有力保障”的論調(diào)。經(jīng)此之后,入侵檢測、VPN等更多新的概念及技術(shù)紛至沓來,但無論技術(shù)怎樣變化,終究還是突破不了技術(shù)統(tǒng)領(lǐng)信息安全的枷鎖。實(shí)際上,對(duì)企業(yè)信息安全技術(shù)的選擇及應(yīng)用只是企業(yè)信息系統(tǒng)安全化的一部分,它只是實(shí)現(xiàn)企業(yè)安全運(yùn)營的一個(gè)方法而己。大家之所以產(chǎn)生這樣的誤區(qū),其原因是多方面的,站在企業(yè)安全技術(shù)提供商的角度來說,其側(cè)重點(diǎn)在于銷售,因此向相關(guān)客戶輸送的大多都是以技術(shù)為核心的理念和信息。站在客戶角度來說,只有企業(yè)的產(chǎn)品才是真實(shí)的、有形的,對(duì)投資方來說,這是十分重要的。因此,正是對(duì)于企業(yè)信息系統(tǒng)的錯(cuò)誤認(rèn)識(shí),導(dǎo)致一些極端現(xiàn)象的產(chǎn)生,比如:許多企業(yè)的信息化設(shè)備使用了防火墻、網(wǎng)絡(luò)云掃描等技術(shù),但卻沒有設(shè)定出一套以安全策略為核心的合理的安全管理方案,從而造成安全技術(shù)及企業(yè)的產(chǎn)品生產(chǎn)十分混亂,不能做到技術(shù)及相關(guān)產(chǎn)品的及時(shí)、有效的更新。還有一些電力企業(yè)即使設(shè)定了一些安全管理措施,卻沒有使用有效的實(shí)施、監(jiān)督機(jī)制來執(zhí)行,這讓安全管理措施徒有其表,名存實(shí)亡。經(jīng)過研究及調(diào)查,現(xiàn)階段我國電力企業(yè)信息系統(tǒng)面臨的風(fēng)險(xiǎn)主要有:(1)信息系統(tǒng)缺陷。隨著信息化的不斷發(fā)展,電力企業(yè)信息系統(tǒng)也一直在不斷完善中,目前,我國的電力企業(yè)在設(shè)計(jì)、制造及產(chǎn)品裝配中仍存在著許多安全隱患與風(fēng)險(xiǎn),比如來自軟硬件組件的安全隱患等,這些信息系統(tǒng)固有的缺陷對(duì)電力企業(yè)信息系統(tǒng)的安全造成了嚴(yán)重的威脅。(2)信息系統(tǒng)安全管理不規(guī)范。現(xiàn)階段,我國電力企業(yè)對(duì)電力信息系統(tǒng)的安全愈來愈重視,很多電力企業(yè)都采取了各種風(fēng)險(xiǎn)管理及預(yù)防措施,但是由于系統(tǒng)數(shù)據(jù)備份設(shè)備的不完善、數(shù)據(jù)丟失等信息系統(tǒng)安全管理不規(guī)范現(xiàn)象的出現(xiàn),建立一套完善、合理的電力企業(yè)信息系統(tǒng)安全管理體系尤為重要。(3)網(wǎng)絡(luò)安全意識(shí)薄弱。由于電力企業(yè)的安全宣傳力度不夠,相關(guān)技術(shù)人員的安全意識(shí)薄弱而導(dǎo)致的信息系統(tǒng)安全問題時(shí)有發(fā)生,比如不能及時(shí)修補(bǔ)信息系統(tǒng)漏洞及補(bǔ)丁,相關(guān)人員不正確的操作、或通過U盤導(dǎo)致重要信息泄露等,處理不好都很有可能造成整個(gè)電力系統(tǒng)的不穩(wěn)定甚至系統(tǒng)癱瘓。(4)惡意人為破壞。隨著網(wǎng)絡(luò)共享度的提高,我國的電力企業(yè)信息系統(tǒng)逐漸向開放型及共享型發(fā)展,這使得一些不法分子有機(jī)可乘,他們?yōu)榱俗约旱睦妫ㄟ^各種手段非法入侵電力企業(yè)的信息系統(tǒng),如植入病毒、竊聽、干擾阻斷等,這對(duì)我國電力企業(yè)信息系統(tǒng)的安全構(gòu)成了極大的威脅。
2電力企業(yè)信息系統(tǒng)安全管理研究
信息安全是一個(gè)復(fù)雜的、不斷變化的動(dòng)態(tài)過程,如果電力企業(yè)只根據(jù)一時(shí)需要而忽略了信息安全的動(dòng)態(tài)性,只是主觀的來制定一些風(fēng)險(xiǎn)管理措施,就會(huì)造成在企業(yè)信息管理中顧此失彼,進(jìn)而導(dǎo)致企業(yè)的安全管理水平止步不前甚至有失偏頗。[2]其正確的做法是,電力企業(yè)要遵守相關(guān)信息安全標(biāo)準(zhǔn)及實(shí)踐總結(jié),結(jié)合企業(yè)自身對(duì)信息系統(tǒng)安全的實(shí)際需求,在進(jìn)行完善的風(fēng)險(xiǎn)分析及風(fēng)險(xiǎn)管理的基礎(chǔ)上,通過一些合理的、可行的安全風(fēng)險(xiǎn)管理措施來使電力企業(yè)信息系統(tǒng)一直處于安全狀態(tài)。除此之外,不斷更新的過程是電力企業(yè)進(jìn)行信息安全管理的最基本出發(fā)點(diǎn),該過程還應(yīng)該是動(dòng)態(tài)的、變化的,即安全措施要隨著環(huán)境的變化及信息技術(shù)的提高而不斷改進(jìn)和完善,堅(jiān)決拒絕一成不變,這可以將信息系統(tǒng)的風(fēng)險(xiǎn)降到最低。[3]所以說,基于風(fēng)險(xiǎn)的評(píng)估及控制角度來說,電力企業(yè)信息系統(tǒng)的安全風(fēng)險(xiǎn)與其他領(lǐng)域的風(fēng)險(xiǎn)具有相似性,與此同時(shí),電力系統(tǒng)信息系統(tǒng)安全風(fēng)險(xiǎn)又具有其獨(dú)特性。將其他領(lǐng)域內(nèi)的風(fēng)險(xiǎn)控制過程引入電力企業(yè)的信息風(fēng)險(xiǎn)管理領(lǐng)域,需要同時(shí)考慮到其共性和個(gè)性。安全管理主要分為網(wǎng)絡(luò)級(jí)、系統(tǒng)級(jí)和應(yīng)用級(jí)3個(gè)部分:(1)網(wǎng)絡(luò)級(jí)安全管理。電力企業(yè)信息系統(tǒng)的網(wǎng)絡(luò)級(jí)安全管理主要是指解決企業(yè)信息系統(tǒng)與網(wǎng)絡(luò)互聯(lián)而產(chǎn)生的安全風(fēng)險(xiǎn)問題,其主要從網(wǎng)絡(luò)防火墻及網(wǎng)絡(luò)結(jié)構(gòu)兩個(gè)方面采取安全管理措施。網(wǎng)絡(luò)防火墻對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)及外部網(wǎng)絡(luò)起到安全隔離作用,它可以有效預(yù)防潛在的破壞性入侵,同時(shí)可以對(duì)即將進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行嚴(yán)格的檢測,并對(duì)非法、錯(cuò)誤的網(wǎng)絡(luò)信息進(jìn)行隔離,從而保護(hù)電力企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。對(duì)于網(wǎng)絡(luò)結(jié)構(gòu),根據(jù)電力企業(yè)信息系統(tǒng)的實(shí)際情況,相關(guān)技術(shù)人員結(jié)合網(wǎng)絡(luò)結(jié)構(gòu),設(shè)計(jì)出一種介于混合型和網(wǎng)狀型結(jié)構(gòu)之間的分布式網(wǎng)絡(luò)結(jié)構(gòu),該分布式網(wǎng)絡(luò)系統(tǒng)具有較高的可靠性及容錯(cuò)能力,從而對(duì)已有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行了優(yōu)化。(2)系統(tǒng)級(jí)安全管理。在企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)管理中,系統(tǒng)級(jí)安全設(shè)計(jì)與用戶的具體應(yīng)用具有密切的聯(lián)系,具體而言,其分為操作系統(tǒng)與數(shù)據(jù)處理兩個(gè)方面。在操作系統(tǒng)方面,利用有效的網(wǎng)絡(luò)安全掃描對(duì)信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行合理評(píng)估,及時(shí)分析操作系統(tǒng)已有的漏洞,同時(shí)結(jié)合信息系統(tǒng)的漏洞自動(dòng)修補(bǔ)技術(shù),實(shí)現(xiàn)定期為相關(guān)用戶消除網(wǎng)絡(luò)中的安全隱患。在數(shù)據(jù)處理方面,企業(yè)要善于利用信息系統(tǒng)平臺(tái)再次對(duì)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)安全加密,從而將信息系統(tǒng)的數(shù)據(jù)庫風(fēng)險(xiǎn)降到最低。(3)應(yīng)用級(jí)安全管理。應(yīng)用級(jí)安全設(shè)計(jì)具有直觀、具體的特點(diǎn),它是在設(shè)計(jì)電力企業(yè)的信息系統(tǒng)時(shí),通過技術(shù)手段將相應(yīng)的安全技術(shù)加入到信息系統(tǒng)中,從而有效保證系統(tǒng)的安全穩(wěn)定運(yùn)行。具體來說,電力企業(yè)信息系統(tǒng)的應(yīng)用系統(tǒng)訪問控制是根據(jù)訪問信息性質(zhì)的不同,分別進(jìn)行公開信息和私密信息的傳送、存儲(chǔ)及管理,從而實(shí)現(xiàn)在應(yīng)用層次上的訪問控制;而數(shù)字簽名技術(shù)可以通過對(duì)文件簽發(fā)者、日期等提供準(zhǔn)確的不可更改的歷史記錄,來保證系統(tǒng)所有文件的完整性。因此,我們得知,為了確保電力企業(yè)信息系統(tǒng)的安全,要采取合理、有效的管理手段來最大程度地降低風(fēng)險(xiǎn),即相關(guān)人員不僅要從技術(shù)層面來進(jìn)行安全管理的設(shè)計(jì),還要從管理層面進(jìn)行安全管理設(shè)置。[4]具體來說可以從以下方面著手:(1)定期對(duì)企業(yè)系統(tǒng)的技術(shù)人員進(jìn)行安全教育,增強(qiáng)其信息系統(tǒng)的安全意識(shí);(2)保持相關(guān)人員特別是管理層的人員穩(wěn)定,若有人員調(diào)離,需及時(shí)更換系統(tǒng)密碼,避免企業(yè)機(jī)密泄露;(3)設(shè)置合理的電力企業(yè)信息系統(tǒng)安全標(biāo)準(zhǔn)及企業(yè)制度等。
3結(jié)語
關(guān)鍵詞 銀行業(yè);信息科技;風(fēng)險(xiǎn)安全
中圖分類號(hào):F832.2 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1671―7597(2013)031-140-01
1 安全評(píng)估概念及作用
安全評(píng)估是信息科技風(fēng)險(xiǎn)安全評(píng)估的簡稱,是指組織依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。安全評(píng)估是科學(xué)分析理解信息和信息系統(tǒng)在機(jī)密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn),并在風(fēng)險(xiǎn)的預(yù)防、風(fēng)險(xiǎn)的控制、風(fēng)險(xiǎn)的轉(zhuǎn)移、風(fēng)險(xiǎn)的補(bǔ)償、風(fēng)險(xiǎn)的分散等之間做出決策的過程。信息安全管理應(yīng)基于安全評(píng)估,只有在正確地、全面地識(shí)別風(fēng)險(xiǎn)后,才能在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)之間做出正確的判斷,并決定需要調(diào)動(dòng)多少資源、以什么的代價(jià)、采取什么樣的措施去化解、控制風(fēng)險(xiǎn)。
2 安全評(píng)估主要標(biāo)準(zhǔn)及實(shí)踐
信息安全評(píng)估涉及范圍廣,相關(guān)安全標(biāo)準(zhǔn)也十分龐雜。其中ISO27005-2008明確了安全評(píng)估方法及流程,在全球范圍內(nèi)得到了廣泛的應(yīng)用。國內(nèi)安全評(píng)估標(biāo)準(zhǔn)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB20984-2007)采用的評(píng)估方法基本與ISO27005一致,明確了風(fēng)險(xiǎn)評(píng)估的基本概念、要素關(guān)系、分析原理、實(shí)施流程和評(píng)估方法,以及風(fēng)險(xiǎn)評(píng)估在信息系統(tǒng)生命周期不同階段的實(shí)施要點(diǎn)和工作形式。
3 銀行業(yè)安全評(píng)估現(xiàn)狀及存在問題分析
隨著業(yè)務(wù)發(fā)展需要及監(jiān)管要求,國內(nèi)商業(yè)銀行越來越重視信息科技風(fēng)險(xiǎn)管理工作,信息安全評(píng)估逐漸成為信息科技風(fēng)險(xiǎn)管理的基礎(chǔ)性工作,但國內(nèi)商業(yè)銀行信息安全評(píng)估管理與國外銀行相比存在較大差距。一是安全評(píng)估體系不健全。大部分商行銀行未明確安全評(píng)估管理的組織機(jī)構(gòu),缺少安全評(píng)估管理制度,未建立符合本行風(fēng)險(xiǎn)管理需要的安全評(píng)估體系。二是安全評(píng)估流程不規(guī)范。很多商業(yè)銀行安全評(píng)估尤其是自評(píng)估缺少標(biāo)準(zhǔn)的流程控制,安全評(píng)估工作隨意性強(qiáng),大部分評(píng)估流于形式或依賴于個(gè)人經(jīng)驗(yàn),安全評(píng)估的結(jié)果不能真實(shí)的反映客觀存在的風(fēng)險(xiǎn)。三是安全評(píng)估人才匱乏。安全評(píng)估工作具有較強(qiáng)的專業(yè)性,對(duì)評(píng)估人員的能力要求較高,而很多商業(yè)銀行評(píng)估人員未經(jīng)過相應(yīng)的培訓(xùn),缺少經(jīng)驗(yàn),并不真正具備安全評(píng)估的能力。四是安全評(píng)估方法不科學(xué)。商業(yè)銀行評(píng)估尤其是自評(píng)估主要依據(jù)制度列表或個(gè)人經(jīng)驗(yàn),很難發(fā)現(xiàn)深層次問題并對(duì)風(fēng)險(xiǎn)準(zhǔn)確定性,評(píng)估結(jié)果對(duì)風(fēng)險(xiǎn)處置的指導(dǎo)意見有限。五是安全評(píng)估數(shù)據(jù)積累不足。國內(nèi)外主要的安全評(píng)估方法,需要根據(jù)歷史事件統(tǒng)計(jì)事件發(fā)生概率,目前,很多商業(yè)銀行尚未建立事件統(tǒng)計(jì)分析機(jī)制。
4 安全評(píng)估管理的主要思路
通過研究國內(nèi)外信息科技風(fēng)險(xiǎn)安全評(píng)估標(biāo)準(zhǔn)、規(guī)范及實(shí)踐,提出了商業(yè)銀行信息科技風(fēng)險(xiǎn)安全評(píng)估管理思路。
4.1 建立安全評(píng)估組織體系
信息安全風(fēng)險(xiǎn)評(píng)估組織體系建設(shè)應(yīng)充分考慮安全評(píng)估自身特點(diǎn),并應(yīng)結(jié)合商業(yè)銀行的風(fēng)險(xiǎn)管理體系,安全評(píng)估的組織體系應(yīng)包括兩個(gè)方面:一是建立安全評(píng)估日常管理體系。該部分體系應(yīng)在信息科技風(fēng)險(xiǎn)管理體系的基礎(chǔ)上,明確高管層、信息科技風(fēng)險(xiǎn)管理部門、信息科技管理部門及其它相關(guān)部門的安全評(píng)估職責(zé);二是建立安全評(píng)估項(xiàng)目管理機(jī)制。商業(yè)銀行組織安全評(píng)估時(shí)應(yīng)成立項(xiàng)目管理組織,并嚴(yán)格按照項(xiàng)目管理的流程對(duì)安全評(píng)估進(jìn)行有效控制。
4.2 建立信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)流程
安全評(píng)估流程是安全評(píng)估標(biāo)準(zhǔn)化的控制手段,能夠有效的控制安全評(píng)估的目標(biāo)、范圍、過程及質(zhì)量,安全評(píng)估需要建立以下標(biāo)準(zhǔn)流程:一是安全評(píng)估的組織流程,即安全評(píng)估審批、總結(jié)、匯報(bào)等流程;二是安全評(píng)估的項(xiàng)目管理流程,安全評(píng)估應(yīng)采用項(xiàng)目的管理方式進(jìn)行組織,并按項(xiàng)目管理流程組織評(píng)估并形成項(xiàng)目階段成果;三是安全評(píng)估的評(píng)估方法流程。安全評(píng)估根據(jù)標(biāo)準(zhǔn)的評(píng)估方法,并結(jié)合評(píng)估對(duì)象的特點(diǎn),從資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、風(fēng)險(xiǎn)評(píng)估、已有措施確認(rèn)等方面,建立明確的評(píng)估方法流程并明確流程各階段主要工作成果及輸出文檔。
4.3 培養(yǎng)專業(yè)信息安全風(fēng)險(xiǎn)評(píng)估人員
專業(yè)的安全評(píng)估人員是安全評(píng)估的基本保證,應(yīng)加大對(duì)信息安全風(fēng)險(xiǎn)評(píng)估人員的培訓(xùn)力度,培訓(xùn)主要從以下幾個(gè)方面進(jìn)行:一是加大評(píng)估管理要求、評(píng)估流程的培訓(xùn)力度,讓評(píng)估人員能夠了解信息科技安全管理的要求,掌握安全評(píng)估組織、項(xiàng)目及方法流程;二是加大信息安全知識(shí)培訓(xùn)力度,評(píng)估人員應(yīng)全面學(xué)習(xí)信息安全的相關(guān)知識(shí),了解目前信息安全面臨的主要威脅及存在風(fēng)險(xiǎn);三是加大安全評(píng)估技術(shù)培訓(xùn)力度,評(píng)估人員應(yīng)了解安全評(píng)估相關(guān)技術(shù),熟練掌握常用的安全評(píng)估工具;四是加大信息系統(tǒng)相關(guān)技術(shù)培訓(xùn)力度,安全評(píng)估要求評(píng)估人員應(yīng)了解主機(jī)、網(wǎng)絡(luò)及應(yīng)系統(tǒng)等相關(guān)技術(shù)細(xì)節(jié),應(yīng)組織相應(yīng)的技術(shù)培訓(xùn),擴(kuò)大評(píng)估人員的知識(shí)范圍,并使評(píng)估人員深入了解各系統(tǒng)的技術(shù)細(xì)節(jié)。
4.4 引入安全評(píng)估工具
為實(shí)現(xiàn)安全評(píng)估的專業(yè)化,商業(yè)銀行應(yīng)逐步引入和使用風(fēng)險(xiǎn)評(píng)估工具,風(fēng)險(xiǎn)評(píng)估工具包括以下三類:一是專業(yè)安全評(píng)估設(shè)備及軟件,如漏洞掃描設(shè)備、安全審計(jì)平臺(tái)等。二是專門的風(fēng)險(xiǎn)計(jì)算工具,如風(fēng)險(xiǎn)統(tǒng)計(jì)及計(jì)算表格,該類表格根據(jù)標(biāo)準(zhǔn)的計(jì)算方式,能夠給出相對(duì)準(zhǔn)確的風(fēng)險(xiǎn)量化值。二是風(fēng)險(xiǎn)管理系統(tǒng),對(duì)風(fēng)險(xiǎn)進(jìn)行匯總、統(tǒng)計(jì)及處置跟蹤。
4.5 建立風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)積累機(jī)制
安全風(fēng)險(xiǎn)評(píng)估的準(zhǔn)確與否依賴于大量信息安全相關(guān)數(shù)據(jù),因此,需要建立風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)積累機(jī)制:一是確定信息安全事件的收集、整理及匯總機(jī)制,信息安全事件統(tǒng)計(jì)來源分為外部和內(nèi)部兩個(gè)渠道,外部事件應(yīng)根據(jù)安全部門、監(jiān)管部門的通報(bào)進(jìn)行收集,內(nèi)部事件通過安全事件報(bào)告匯總。二是建立信息系統(tǒng)數(shù)據(jù)積累機(jī)制,統(tǒng)計(jì)和匯總不同設(shè)備及系統(tǒng)的安全要求,按標(biāo)準(zhǔn)格式形成評(píng)估要點(diǎn)文檔,作為相關(guān)評(píng)估的主要依據(jù)。
參考文獻(xiàn)
[1]ISO/IEC 27001:2005 信息技術(shù) 安全技術(shù) 信息安全管理體系要求[M].
[2]ISO/IEC 27002:2005 信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則[M].
[3]ISOIEC 27005-2008 信息技術(shù) 安全技術(shù) 信息安全風(fēng)險(xiǎn)管理[M].
[4]GBT 20984-2007 信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范[M].
[5]GBT 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求[M].
1電子信息安全管理現(xiàn)狀
隨著經(jīng)濟(jì)建設(shè)與科學(xué)技術(shù)的不斷進(jìn)步,電子信息時(shí)代悄然來臨,其不僅改變了傳統(tǒng)的信息管理方式,同時(shí)也為人們的生活以及工作模式帶來了很大程度的改變,而且也為我國的經(jīng)濟(jì)發(fā)提供了很大的商機(jī)。但是,電子信息是依靠網(wǎng)絡(luò)平臺(tái)儲(chǔ)存、運(yùn)輸、轉(zhuǎn)換以及使用的。因此,其在使用過程中,同樣也面臨著網(wǎng)絡(luò)上巨大且復(fù)雜的安全風(fēng)險(xiǎn)。例如,黑客攻擊攻擊、網(wǎng)絡(luò)病毒的蔓延等,這些問題的存在對(duì)電子信息管理的安全性產(chǎn)生了極大的威脅。除此之外,電子信息的安全管理工作還面臨著管理人員安全管理意識(shí)不到位、管理理論與管理體系的不完善等,均使得電子信息管理工作存在著極大的安全風(fēng)險(xiǎn)。所以,為了進(jìn)一步提高電子管理的安全性,必須采取有效措施,對(duì)管理理論與管理體系進(jìn)行完善,同時(shí)不斷增強(qiáng)管理工作人員的安全管理意識(shí)與專業(yè)水平,只有這樣才能在根本上為電子信息管理的安全性提供保障。
2電子信息管理的安全風(fēng)險(xiǎn)因素
2.1缺乏完善的管理理論以及系統(tǒng)的管理體系。理論是一切行動(dòng)的基礎(chǔ),對(duì)于電子信息管理這一新興行業(yè)而言,成熟而又完善的指導(dǎo)理論以及系統(tǒng)性的管理體系是十分重要的。但是,由于電子信息在我國興起的時(shí)間比較晚,導(dǎo)致我國目前的電子信息管理理論以及管理體系均不是十分完善,跟世界上的發(fā)達(dá)國家相比,存在比較大的差距。由于缺乏相應(yīng)理論以及體系的指導(dǎo),我國電子信息管理水平比較落后,無法取得明顯成效。此外,我國現(xiàn)階段對(duì)電子信息安全管理的標(biāo)準(zhǔn)以及規(guī)范比較低,電子信息安全問題層出不窮,極大的阻礙了我國電子信息安全管理工作的順利開展。2.2管理人員安全意識(shí)不到位。從某種程度上來說,工作人員的安全意識(shí)水平對(duì)電子信息管理的安全性有著非常重要的影響。但是,受到種種客觀因素的限制,我國從事電子信息安全管理工作的人員,對(duì)電子信息安全的重要性沒有深刻的認(rèn)知,對(duì)風(fēng)險(xiǎn)識(shí)別工作的理解也比較淺顯,甚至依然沿用傳統(tǒng)的檔案信息管理對(duì)策,這種情況極大的限制了電子信息管理工作的有效開展。此外,電子信息管理是一項(xiàng)比較細(xì)致、繁瑣的,其不僅要求管理人員具備高超的專業(yè)技術(shù),同時(shí)也對(duì)其工作態(tài)度有著嚴(yán)謹(jǐn)?shù)囊螅芾砣藛T必須保持高度負(fù)責(zé)的精神狀態(tài),不讓電腦病毒以及不法分子有機(jī)可乘。但是,目前大部分管理人員并沒有做到這一點(diǎn),在工作電腦上隨意安裝游戲、娛樂等軟件,導(dǎo)致電腦被病毒入侵,電子信息發(fā)生泄漏,為公民的個(gè)人財(cái)產(chǎn)造成無法挽回的損失。除此之外,大部分管理工作人員在移交信息資料時(shí),經(jīng)常使用U盤等不安全載體,這類移動(dòng)儲(chǔ)存設(shè)備,可被輕易的讀寫,而且極其容易傳播病毒,為電子信息管理帶來安全性威脅。2.3計(jì)算機(jī)技術(shù)方面的問題。計(jì)算機(jī)是電子信息的載體,其對(duì)電子信息管理的安全性以及風(fēng)險(xiǎn)識(shí)別有著重要影響。針對(duì)我國電子信息管理的現(xiàn)狀來看,計(jì)算機(jī)技術(shù)問題主要體現(xiàn)在以下幾個(gè)方面:2.3.1技術(shù)的先天風(fēng)險(xiǎn)。電子信息以計(jì)算機(jī)、存儲(chǔ)設(shè)備、服務(wù)器以及管理系統(tǒng)作為主要的硬件支撐,而現(xiàn)階段電子信息的存儲(chǔ)介質(zhì)均是計(jì)算機(jī)網(wǎng)絡(luò)。因此,計(jì)算機(jī)的硬件一旦發(fā)生故障,便會(huì)導(dǎo)致網(wǎng)絡(luò)中斷或者信息存儲(chǔ)設(shè)備的損壞,進(jìn)而造成電子信息數(shù)據(jù)泄露、資料丟失等風(fēng)險(xiǎn)問題。2.3.2網(wǎng)絡(luò)環(huán)境的安全性威脅。資源共享、信息無邊界等,是現(xiàn)代化網(wǎng)絡(luò)的主要特征,其在方便人們進(jìn)行信息交流的同時(shí),也為網(wǎng)絡(luò)環(huán)境增添了許多不安全因素,盜竊、惡意篡改或者不正當(dāng)訪問的現(xiàn)象成為常態(tài)。因此,為了確保電子信息管理的安全性,必須設(shè)置相應(yīng)的訪問等級(jí)以及訪問權(quán)限,并對(duì)電子信息實(shí)現(xiàn)加密控制。2.3.3計(jì)算機(jī)軟件問題。再先進(jìn)的軟件都不是完美的,隨著使用程度的不斷深入,計(jì)算機(jī)軟件的缺陷以及漏洞便會(huì)逐漸凸顯出來。此時(shí),必須要通過軟件升級(jí)或者補(bǔ)丁安裝來迅速修復(fù)軟件的漏洞,以免系統(tǒng)被惡意攻擊,發(fā)生死機(jī)癱瘓等現(xiàn)象。2.3.4網(wǎng)絡(luò)黑客與病毒的威脅。網(wǎng)絡(luò)黑客與網(wǎng)絡(luò)病毒是無法避免的存在,其利用計(jì)算機(jī)軟件漏洞或者管理工作人員的疏忽,而滲透或入侵到管理系統(tǒng)當(dāng)中,對(duì)計(jì)算機(jī)進(jìn)行攻擊,導(dǎo)致網(wǎng)絡(luò)不穩(wěn)。系統(tǒng)停止工作等現(xiàn)象,進(jìn)而造成數(shù)據(jù)資料的缺失、重要檔案信息的泄漏等問題。網(wǎng)絡(luò)黑客與網(wǎng)絡(luò)病毒的存在,不僅極大的威脅著電子信息管理的安全性,同時(shí)也影響著每個(gè)個(gè)體的信息安全以及切身利益。2.4管理工作不到位。一方面,相關(guān)部門的管理工作人員沒有正確認(rèn)識(shí)到電子信息安全的重要性,自身的信息素養(yǎng)比較差,未具備信息安全意識(shí)。造成這一現(xiàn)狀的主要原因是,電子信息技術(shù)在我國起步較晚,發(fā)展時(shí)期比較短暫,再加上我國建設(shè)電子政務(wù)的起點(diǎn)很低,種種客觀因素導(dǎo)致相關(guān)管理工作人員在自身素質(zhì)與意識(shí)上尚未形成系統(tǒng)化、高水平的基礎(chǔ)環(huán)境,同時(shí)也未能深入理解電子信息安全管理。除此之外,其在電子信息安全管理的認(rèn)識(shí)上,存在明顯的誤區(qū),這也成為了限制電子信息安全管理工作進(jìn)一步發(fā)展的主要因素之一。另一方面,針對(duì)電子信息安全管理的體制不夠完善,管理制度比較落后,出現(xiàn)了許多安全漏洞。我國各個(gè)相關(guān)部門為了確保電子信息管理的安全性,一直致力于技術(shù)方面的研究,而嚴(yán)重忽視了軟措施建設(shè),即管理體制建設(shè)。由于電子信息安全管理的管理體制沒有得到有效的細(xì)化、安全管理責(zé)任制度沒有得到貫徹落實(shí),電子信息管理與認(rèn)證系統(tǒng)的不完善等,導(dǎo)致目前我國的電子信息管理體系存在著許多安全隱患,安全管理工作的協(xié)調(diào)性、統(tǒng)一性比較低。這種現(xiàn)狀下,一旦管理發(fā)生安全事故,便會(huì)導(dǎo)致事故定位不準(zhǔn)確,難以找出事故原因,責(zé)任承擔(dān)不清楚等問題,進(jìn)而造成無法彌補(bǔ)的后果。
3提高電子信息管理安全性與風(fēng)險(xiǎn)識(shí)別水平的方法對(duì)策
3.1建立健全管理理論以及管理體系。完善的理論以及管理體系,是電子信息管理工作得以順利開展的重要保障。為了確保電子信息管理的安全,必須依靠科學(xué)的指導(dǎo)理論以及系統(tǒng)的管理體系。首先,相關(guān)工作人員必須仔細(xì)分析自身管理的實(shí)際情況以及實(shí)際市場情況,制定出符合自身特點(diǎn),順應(yīng)自身發(fā)展趨勢的電子信息管理制度。其中,最基本的也是最重要的一項(xiàng)便是,建立起身份認(rèn)證系統(tǒng),以免其他閑雜人員隨意參與到電子信息管理工作當(dāng)中,而驗(yàn)證身份的信息可以是管理人員的編號(hào)、身份證號(hào)等,保證每名工作人員均有專屬的通行密碼。而在進(jìn)行管理工作時(shí),工作人員只需要輸入通行密碼,計(jì)算機(jī)便會(huì)進(jìn)行自主驗(yàn)證,若與原本的儲(chǔ)存的信息相同,便可以通行。3.2增強(qiáng)管理工作人員的安全管理意識(shí)。管理工作人員是電子信息安全管理工作的主體,提高其對(duì)電子信息安全管理的認(rèn)知,增強(qiáng)其安全管理意識(shí),對(duì)電子信息管理的安全性來說,有著極其重要的意義。因此,作為管理工作人員,必須改變傳統(tǒng)的管理理念,不斷豐富自身管理知識(shí)構(gòu)架,適應(yīng)現(xiàn)代化的電子信息儲(chǔ)存方式,提高自身操作的規(guī)范性,確保電子信息的完整性以及安全性。同時(shí),工作人員還要不斷的提高自身專業(yè)水平,在電子信息的存儲(chǔ)、轉(zhuǎn)換以及管理的過程中,側(cè)重于信息內(nèi)容完整性、正確性以及可讀性的保證。具體來說,首先,相關(guān)部門要大力宣傳電子信息安全的重要性,通過宣講會(huì)、座談會(huì)等,向社會(huì)大眾普及電子信息管理風(fēng)險(xiǎn)的危害,全面提高社會(huì)對(duì)電子信息管理安全性的重視程度;其次,要對(duì)管理人員進(jìn)行崗位培訓(xùn)。對(duì)從事不同管理崗位的工作人員開展針對(duì)性的培訓(xùn),增強(qiáng)其專業(yè)理論知識(shí)以及技術(shù)水平,提高工作人員的管理效率,促使電子信息安全管理工作向著更加標(biāo)準(zhǔn)、規(guī)范、可靠的趨勢發(fā)展。除此之外,還要培養(yǎng)并提高管理工作人員的風(fēng)險(xiǎn)識(shí)別能力,最大限度的消除電子信息的安全管理風(fēng)險(xiǎn),提高電子信息管理的安全性,進(jìn)而為廣大公民的信息安全提供根本保障。3.3提高電子信息技術(shù)水平。提高電子信息技術(shù)水平,是確保電子信息安全的重要途徑。為此,在計(jì)算機(jī)的基礎(chǔ)性硬件配置、信息儲(chǔ)存、信息運(yùn)輸、數(shù)據(jù)庫操作系統(tǒng)、網(wǎng)站訪問與軟件運(yùn)行等方面,必須要采取相應(yīng)的防護(hù)措施。比如,強(qiáng)化計(jì)算機(jī)的防火墻設(shè)置,增強(qiáng)對(duì)網(wǎng)絡(luò)訪問權(quán)限的控制;借助防火墻等技術(shù),防止電子數(shù)據(jù)被隨意拷貝;借助計(jì)算機(jī)系統(tǒng)的入侵監(jiān)測技術(shù),對(duì)網(wǎng)絡(luò)動(dòng)態(tài)進(jìn)行全面、系統(tǒng)的監(jiān)控,防止非法入侵;大力推行電子信息簽名技術(shù),以免發(fā)生電子信息文件被隨意、非法濫用現(xiàn)象的發(fā)生;實(shí)行身份證實(shí)名認(rèn)證登錄技術(shù),阻止網(wǎng)絡(luò)黑客入侵系統(tǒng)后,隨意訪問登錄;增強(qiáng)關(guān)于防病毒軟件以及排查病毒軟件的研發(fā);設(shè)置電子信息訪問權(quán)限時(shí),對(duì)核心信息進(jìn)行隔離,對(duì)網(wǎng)絡(luò)區(qū)域以及信息類型實(shí)行部署,而非核心信息則可以借助授權(quán)管理進(jìn)行使用;對(duì)電子信息的資源管理,必須將責(zé)任制度落到實(shí)處,進(jìn)行多人協(xié)調(diào)管理,并且定期額進(jìn)行崗位轉(zhuǎn)換,實(shí)現(xiàn)管理工作人員之間的互相監(jiān)督、互相制約,以此來避免個(gè)人集中管理制度的風(fēng)險(xiǎn)。除此之外,還要定期對(duì)計(jì)算機(jī)系統(tǒng)、軟件等進(jìn)行維護(hù)、升級(jí),將網(wǎng)絡(luò)病毒阻攔在計(jì)算機(jī)系統(tǒng)之外。只有全面提高計(jì)算機(jī)的硬件與軟件配置,增強(qiáng)防查病毒的技術(shù)水平,才能在根本上為電子信息管理提供一個(gè)安全、可靠的網(wǎng)絡(luò)環(huán)境。3.4提高管理水平。為了提高電子信息安全管理水平以及風(fēng)險(xiǎn)識(shí)別能力,必須綜合考慮電子信息管理的特點(diǎn)以及要求,制定出安全、科學(xué)的安全防范制度,找出最有效的安全防治措施。與此同時(shí),還要構(gòu)建起完善的信息安全管理制度,并對(duì)其可行性進(jìn)行分析,力求將電子信息安全管理工作變得更加規(guī)范化、標(biāo)準(zhǔn)化。除此之外,還要建立起完善的電子信息安全保障系統(tǒng)。從某種角度上來說,工作人員的管理能力要比管理技術(shù)更重要,預(yù)防對(duì)策與補(bǔ)救對(duì)策更重要。因此,完善的電子信息保障系統(tǒng),可以顯著的增強(qiáng)電子信息管理的安全等級(jí)。一方面,必須建立起系統(tǒng)的、完整的技術(shù)保障體系,以此來確保計(jì)算機(jī)硬件以及部分應(yīng)用軟件的使用安全性;另一方面,必須制定出完善的電子信息管理制度,使電子信息的存儲(chǔ)、運(yùn)輸、使用等程序更加規(guī)范化、標(biāo)準(zhǔn)化。除此之外,還有建立并健全電子信息管理的監(jiān)督系統(tǒng),對(duì)電子信息管理工作進(jìn)行定期的有效監(jiān)管,并且要將重要的核心信息資料進(jìn)行備份,增強(qiáng)控制職能。此外,各個(gè)管理工作人員之間也要進(jìn)行互相的監(jiān)督,以期更好的保證電子信息管理的安全性。
4結(jié)論
從某個(gè)角度來看,電子信息的普及,為檔案數(shù)據(jù)的管理賦予了新的內(nèi)涵。但是,就現(xiàn)階段我國電子信息安全管理的實(shí)際情況來看,仍然存在著很多很多問題亟待解決,極大的影響了電子信息的安全,同時(shí)也限制了電子信息的進(jìn)一步發(fā)展。本文簡單闡述了電子信息安全管理的現(xiàn)狀,并重點(diǎn)介紹了電子信息管理的安全風(fēng)險(xiǎn)因素:缺乏完善的管理理論以及系統(tǒng)的管理體系、管理人員安全意識(shí)不到位、計(jì)算機(jī)技術(shù)方面的問題以及管理工作不到位。并且,針對(duì)這些問題提出了具體的解決對(duì)策:建立健全管理理論以及管理體系、增強(qiáng)管理工作人員的安全管理意識(shí)、提高電子信息技術(shù)水平以及提高管理水平。希望通過上述四方面的努力,能夠全面改善我國電子信息安全管理以及風(fēng)險(xiǎn)識(shí)別的現(xiàn)狀,提高電子信息管理的安全性,進(jìn)而確保社會(huì)的穩(wěn)定發(fā)展以及電子信息行業(yè)的進(jìn)一步發(fā)展,使其更好的為我國經(jīng)濟(jì)建設(shè)提供服務(wù)。
作者:寧富強(qiáng) 單位:深圳鈺湖電力有限公司
參考文獻(xiàn)
關(guān)鍵詞:煤礦安全風(fēng)險(xiǎn);預(yù)控管理體系;實(shí)踐創(chuàng)新
煤炭行業(yè),中國于2011年成立第一個(gè)安全管理體系標(biāo)準(zhǔn),也可以說是風(fēng)險(xiǎn)預(yù)控管理體系,這樣可以看出煤礦安全對(duì)我國來說是非常重要。我國現(xiàn)階段的煤炭企業(yè)的生產(chǎn)和運(yùn)行運(yùn)用風(fēng)險(xiǎn)預(yù)控管理體系是非常合適的,這對(duì)減少安全事故的發(fā)生起著非常關(guān)鍵的作用。
1 構(gòu)建風(fēng)險(xiǎn)預(yù)控管理體系的重要意義
在我國煤礦企業(yè)不斷發(fā)展的過程中,煤礦的安全問題一直是個(gè)重要的問題,這也是國家和社會(huì)都非常關(guān)注的問題。通過相關(guān)數(shù)據(jù)可以看出,從2013年開始,我國煤礦企業(yè)的安全事故發(fā)生率同前幾年相比下降了22.5%,人員傷亡的情況也在逐漸減少。即使如此,煤礦企業(yè)依舊是發(fā)生安全事故的重要企業(yè),這就需要建立一個(gè)合理的風(fēng)險(xiǎn)預(yù)防管理體系,更好的促進(jìn)煤礦企業(yè)的發(fā)展。風(fēng)險(xiǎn)預(yù)防管理體系是借鑒各國先進(jìn)的安全管理思想和模式,取其精華,再與我國煤炭企業(yè)的自身特點(diǎn)相結(jié)合,從而創(chuàng)建一個(gè)適合自己煤礦管理安全體系。要把A防和控制作為重點(diǎn),通過對(duì)風(fēng)險(xiǎn)的識(shí)別,預(yù)測,和檢測對(duì)煤炭企業(yè)中存在的風(fēng)險(xiǎn)進(jìn)行有效的控制。
2 應(yīng)用煤礦安全風(fēng)險(xiǎn)預(yù)控管理體系的必要性
2.1 煤礦安全風(fēng)險(xiǎn)預(yù)控制管理系統(tǒng)的綜合應(yīng)用,可以有效地提高企業(yè)的安全生產(chǎn)效率
采掘總體鉆井條件良好,但也有較薄的基巖、采煤壓力、頂板和破碎容易崩落、破碎的砂和塌陷經(jīng)常發(fā)生在礦井水和煤層埋深嚴(yán)重的缺點(diǎn),如滲漏和部分瓦斯煤礦。為提高生產(chǎn)效率,必須具備安全、規(guī)范的操作標(biāo)準(zhǔn)、清晰、清晰的管理流程,使公司的管理和崗位員工可以做到一切與標(biāo)準(zhǔn)、處處有流程。風(fēng)險(xiǎn)控制管理系統(tǒng)是企業(yè)遵循和信任管理工具的基礎(chǔ),是成熟和標(biāo)準(zhǔn)化的操作系統(tǒng),促進(jìn)企業(yè)安全管理有序?qū)嵤瑴p少安全隱患和不安全行為,規(guī)避安全風(fēng)險(xiǎn),提高企業(yè)安全生產(chǎn)效率。
2.2 深入推進(jìn)煤礦安全風(fēng)險(xiǎn)預(yù)控管理體系建設(shè)是實(shí)現(xiàn)企業(yè)科學(xué)發(fā)展的內(nèi)在動(dòng)力
長時(shí)間以來,影響安全生產(chǎn)的主要因素限制煤炭企業(yè)整體的發(fā)展,安全生產(chǎn),可以更好地適應(yīng)的客觀趨勢煤炭產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化升級(jí),可以大大提高企業(yè)的抗風(fēng)險(xiǎn)能力,增強(qiáng)其核心競爭力在同一行業(yè),甚至整個(gè)行業(yè)。企業(yè)只有科學(xué)發(fā)展理論的指導(dǎo)下,企業(yè)每一個(gè)員工的自我控制能力和企業(yè)組織工作危害重大危險(xiǎn)源控制系統(tǒng)測試的能力,安全風(fēng)險(xiǎn)預(yù)控管理系統(tǒng)實(shí)現(xiàn)的“試金石”,使安全生產(chǎn)的思想固化的潛意識(shí),我們所有的員工每個(gè)管理活動(dòng)和作業(yè)任務(wù),實(shí)現(xiàn)安全穩(wěn)定發(fā)展的企業(yè),也會(huì)有無盡的力量,讓它勇敢的潮流。
2.3 有效發(fā)揮安全風(fēng)險(xiǎn)預(yù)控管理體系效能是實(shí)現(xiàn)企業(yè)安全生產(chǎn)的必由之路
全面落實(shí)安全風(fēng)險(xiǎn)預(yù)控管理體系的管理要素,高起點(diǎn),高要求,促進(jìn)企業(yè)安全生產(chǎn),科學(xué)管理,后期處理提前預(yù)防,將有利于促進(jìn)安全生產(chǎn),從根源上避免各類安全生產(chǎn)事故,避免各類安全生產(chǎn)事故,事件,實(shí)現(xiàn)企業(yè)安全發(fā)展。
3 風(fēng)險(xiǎn)預(yù)控管理體系的構(gòu)建
3.1 危險(xiǎn)源識(shí)別和風(fēng)險(xiǎn)評(píng)估
危險(xiǎn)源是導(dǎo)致煤礦事故發(fā)生的主要因素,確定危險(xiǎn)源是風(fēng)險(xiǎn)預(yù)控管理體系的當(dāng)務(wù)之急。危險(xiǎn)源有可能在煤礦企業(yè)生產(chǎn)、建設(shè)和改革中每個(gè)環(huán)節(jié)都是有可能的,他們以不同的形式出現(xiàn)。對(duì)這些存在煤礦生產(chǎn)當(dāng)中的安全隱患,其中也包括人為因素,環(huán)境因素,不正確的管理方式,這就需要我們利用相關(guān)的設(shè)備和專業(yè)技術(shù)進(jìn)行識(shí)別和檢測,提前針對(duì)問題進(jìn)行分析,確定風(fēng)險(xiǎn)的危害性,然后進(jìn)行整理記錄,進(jìn)行上報(bào),形成一個(gè)全面的安全管控系統(tǒng)。
3.2 管理標(biāo)準(zhǔn)和管理措施
危害識(shí)別和風(fēng)險(xiǎn)評(píng)估后,要根據(jù)企業(yè)的生產(chǎn)特點(diǎn)和管理水平,制定相應(yīng)的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)。在制定標(biāo)準(zhǔn)過程中,應(yīng)充分考慮國家政策、行業(yè)規(guī)范和企業(yè)自己的標(biāo)準(zhǔn),及時(shí)消除危害。在擬定管理措施時(shí),應(yīng)根據(jù)實(shí)際情況,采取有針對(duì)性的方法來輔導(dǎo)安全出產(chǎn)作業(yè),有效減少煤礦安全事故的發(fā)生。
3.3 風(fēng)險(xiǎn)監(jiān)測與預(yù)警
煤礦在安全管理過程中應(yīng)該使用監(jiān)控實(shí)時(shí)動(dòng)態(tài)信息系統(tǒng),對(duì)危險(xiǎn)源的狀態(tài)實(shí)時(shí)進(jìn)行監(jiān)控。對(duì)檢測出來的危險(xiǎn)進(jìn)行監(jiān)控并采取相應(yīng)的控制措施,還要對(duì)可能出現(xiàn)的新的危險(xiǎn)進(jìn)行防御和監(jiān)控。當(dāng)危險(xiǎn)到達(dá)一定程度沒有辦法控制的時(shí)候,要能立刻預(yù)警,立即想辦法進(jìn)行解決,避免安全事故的發(fā)生。還要建立一個(gè)完善的事故預(yù)警系統(tǒng),在要有危險(xiǎn)要發(fā)生時(shí),及時(shí)發(fā)出警告,能夠第一時(shí)間對(duì)危險(xiǎn)程度進(jìn)行判斷,然后依據(jù)危險(xiǎn)程度采取相應(yīng)的措施,給人們的安全提供更好的保障。
3.4 提高信息系統(tǒng)的應(yīng)用水平
應(yīng)用數(shù)據(jù)應(yīng)按系統(tǒng)形式或格式完成,信息應(yīng)真實(shí)、及時(shí)、標(biāo)準(zhǔn)化、準(zhǔn)確。上級(jí)單位和集團(tuán)有限公司,五人小組,煤礦團(tuán)隊(duì),煤礦動(dòng)態(tài)測試結(jié)果,煤炭部門的專項(xiàng)檢查辦公室,團(tuán)隊(duì)三級(jí)信息隱藏參數(shù)內(nèi)容應(yīng)當(dāng)完整輸入信息系統(tǒng),實(shí)現(xiàn)閉環(huán)管理,安全問題和人員不安全行為的進(jìn)行了具體描述,相應(yīng)的標(biāo)準(zhǔn)和風(fēng)險(xiǎn)來源應(yīng)該是準(zhǔn)確的,錄入工作應(yīng)在檢查后2d完成考試。當(dāng)現(xiàn)場的安全問題與評(píng)估標(biāo)準(zhǔn)和危險(xiǎn)源不相對(duì)應(yīng)時(shí),系統(tǒng)應(yīng)及時(shí)地進(jìn)行解決。
4 煤礦安全風(fēng)險(xiǎn)預(yù)控管理體系的創(chuàng)新策略
4.1 更新安全風(fēng)險(xiǎn)預(yù)控的管理理念
想要建立煤礦本質(zhì)安全化管理新系統(tǒng),第一步就是要更新安全風(fēng)險(xiǎn)預(yù)防的管理理念,樹立正確的管理理念,建立起以人為本的思想理念,做到事故可以避免;還有就是要在原始管理方式上進(jìn)行不斷地創(chuàng)新,做到取其精華去其糟粕,總結(jié)安全生產(chǎn)過程中的經(jīng)驗(yàn),有效的歸納到本質(zhì)安全化管理體制中。
4.2 加大監(jiān)督檢查,以風(fēng)險(xiǎn)預(yù)控管理體系強(qiáng)化機(jī)電管理和考核
業(yè)務(wù)部門和專項(xiàng)技術(shù)人員需要對(duì)現(xiàn)場的工作人員的檢查和考核力度加大。生產(chǎn)過程當(dāng)中對(duì)已經(jīng)識(shí)別出的危險(xiǎn)源需要定時(shí)進(jìn)行檢驗(yàn)。充分發(fā)揮風(fēng)險(xiǎn)與控管理體系中的考核功能,一旦發(fā)現(xiàn)問題的存在,要第一時(shí)間錄入安全管理信息軟件中進(jìn)行預(yù)警,在錄入的過程中需要對(duì)問題進(jìn)行分類,根據(jù)不同問題進(jìn)行不同的整改。各部門在工作之前都需要對(duì)信息系統(tǒng)中存在的問題進(jìn)行及時(shí)的改造,減少或避免在施工過程中存在的隱患,并及時(shí)對(duì)改造的問題進(jìn)行上報(bào)。依據(jù)根據(jù)風(fēng)險(xiǎn)水平和發(fā)生頻率可以制定相應(yīng)的措施,月末對(duì)風(fēng)險(xiǎn)預(yù)控管理體系中記錄的問題進(jìn)行歸納總結(jié),上報(bào),從而更好的提高經(jīng)濟(jì)效益。
5 結(jié)束語
與傳統(tǒng)的安全管理理念和模式相比,現(xiàn)代安全管理的概念更加注重人們的安全。風(fēng)險(xiǎn)預(yù)控管理系統(tǒng)可以使安全事故的發(fā)生率減少,使人們的生命財(cái)產(chǎn)安全都得到保證。所以我們要大力宣傳風(fēng)險(xiǎn)與控管理的教育的好處,建立更加完善的管理制度完善相關(guān)制度,保證風(fēng)險(xiǎn)預(yù)控管理系統(tǒng)的有效實(shí)施。
參考文獻(xiàn)
[1]折紅霞.淺析如何推進(jìn)煤礦安全風(fēng)險(xiǎn)預(yù)控管理體系建設(shè)[J].內(nèi)蒙古煤炭經(jīng)濟(jì),2016,Z1:40-42.
[2]陳星海.淺談煤礦安全風(fēng)險(xiǎn)預(yù)控管理體系實(shí)施過程中遇到的問題[J].科技與創(chuàng)新,2016,08:57.
記者:為什么說信息科技風(fēng)險(xiǎn)管理對(duì)于商業(yè)銀行是特別重要的一環(huán)?
徐徽:近年來,風(fēng)險(xiǎn)管理已成為商業(yè)銀行經(jīng)營管理活動(dòng)的主旋律,信息科技風(fēng)險(xiǎn)作為銀行風(fēng)險(xiǎn)的重要組成部分,受到越來越多的重視。從商業(yè)銀行的角度看,這源于兩方面的驅(qū)動(dòng)因素。
一是內(nèi)在驅(qū)動(dòng)因素。目前信息技術(shù)已深入到商業(yè)銀行經(jīng)營管理的各個(gè)領(lǐng)域,幾乎所有的改革發(fā)展任務(wù)都與信息技術(shù)密切相關(guān),不管是業(yè)務(wù)的發(fā)展,還是管理的提升,都需要信息技術(shù)的配套支持。但是,信息技術(shù)固有的風(fēng)險(xiǎn),包括信息系統(tǒng)軟硬件本身的脆弱性、數(shù)據(jù)集中導(dǎo)致的風(fēng)險(xiǎn)集中等,是客觀存在且難以完全規(guī)避的。由于技術(shù)原因造成區(qū)域性和系統(tǒng)性的金融風(fēng)險(xiǎn)進(jìn)而帶來嚴(yán)重的社會(huì)影響,在國內(nèi)外都有很多案例。因此,信息技術(shù)在促進(jìn)銀行業(yè)務(wù)發(fā)展、推動(dòng)金融創(chuàng)新的同時(shí),也使銀行業(yè)務(wù)面臨巨大的安全隱患,信息科技風(fēng)險(xiǎn)牽一發(fā)而動(dòng)全身,信息系統(tǒng)的安全性和可靠性關(guān)系到商業(yè)銀行整體經(jīng)營管理活動(dòng)的穩(wěn)定,應(yīng)該得到而且已經(jīng)得到了所有商業(yè)銀行的重視。
二是外在驅(qū)動(dòng)因素。近幾年,中國人民銀行、銀監(jiān)會(huì)等監(jiān)管機(jī)構(gòu)對(duì)于商業(yè)銀行信息科技風(fēng)險(xiǎn)的監(jiān)管要求越來越嚴(yán)、越來越細(xì)。銀監(jiān)會(huì)2009年3月下發(fā)的《商業(yè)銀行信息科技風(fēng)險(xiǎn)管理指引》,從IT治理、風(fēng)險(xiǎn)管理策略、信息安全、開發(fā)測試和生產(chǎn)運(yùn)行管理等方面對(duì)商業(yè)銀行提出了具體而細(xì)致的風(fēng)險(xiǎn)管理要求,對(duì)于商業(yè)銀行加強(qiáng)信息安全管理、防范信息技術(shù)風(fēng)險(xiǎn)起到了重要的指導(dǎo)作用。同時(shí),銀監(jiān)會(huì)將商業(yè)銀行的信息系統(tǒng)納入現(xiàn)場和非現(xiàn)場監(jiān)管,大力開展信息科技風(fēng)險(xiǎn)現(xiàn)場檢查,對(duì)商業(yè)銀行的信息科技風(fēng)險(xiǎn)防范工作提出了更髙的標(biāo)準(zhǔn)和要求。監(jiān)管力度的加大,促使商業(yè)銀行針對(duì)信息技術(shù)風(fēng)險(xiǎn)防控制定出更強(qiáng)有力的措施,不斷提髙信息安全風(fēng)險(xiǎn)管理水平。
在上述內(nèi)部要求和外部環(huán)境的雙重要求和驅(qū)動(dòng)下,商業(yè)銀行信息科技風(fēng)險(xiǎn)管理的重要性日益凸顯,信息安全管理成了各行科技工作的主題。
記者:現(xiàn)階段,我國金融機(jī)構(gòu)面臨的信息科技風(fēng)險(xiǎn)主要來源于哪些方面?
徐徽:要嚴(yán)控信息科技風(fēng)險(xiǎn),就要先弄清楚風(fēng)險(xiǎn)的來源,并根據(jù)不同來源對(duì)癥下藥。概括來說,信息科技風(fēng)險(xiǎn)主要來自四個(gè)方面:一是自然原因?qū)е碌娘L(fēng)險(xiǎn),包括地震、臺(tái)風(fēng)等自然災(zāi)害造成的風(fēng)險(xiǎn),這類風(fēng)險(xiǎn)往往很難主動(dòng)防范,只能被動(dòng)防御,通過事前建立完善的業(yè)務(wù)連續(xù)性方案和應(yīng)急預(yù)案,事后及時(shí)啟動(dòng)應(yīng)急方案和補(bǔ)救措施來彌補(bǔ);二是系統(tǒng)風(fēng)險(xiǎn),是由信息系統(tǒng)相關(guān)軟硬件的缺陷引起的,包括基礎(chǔ)設(shè)施和硬件設(shè)備老化、系統(tǒng)軟件缺陷、應(yīng)用軟件開發(fā)測試質(zhì)量缺陷等,需要通過改善軟硬件環(huán)境、完善應(yīng)用軟件來防范;三是管理缺陷導(dǎo)致的風(fēng)險(xiǎn),是由管理制度的缺失或組織架構(gòu)的制衡機(jī)制不完善引起的,需要從IT治理架構(gòu)和管理機(jī)制上彌補(bǔ)管理和制度的空白及漏洞;四是人員違規(guī)操作風(fēng)險(xiǎn),是由人員有意或無意的違規(guī)操作引起的,需要加強(qiáng)員工的安全培訓(xùn)和操作培訓(xùn),提髙人員的信息安全意識(shí)和操作水平。其中,后三類風(fēng)險(xiǎn)需要以主動(dòng)防范為主要安全管理措施,要建立風(fēng)險(xiǎn)事前防范、事中控制、事后監(jiān)督和糾正的機(jī)制。
記者:為保障銀行業(yè)務(wù)的安全,廣發(fā)行信息科技風(fēng)險(xiǎn)管控采取了哪些具體措施?
徐徽:嚴(yán)控風(fēng)險(xiǎn)是我行2009年工作的主旋律之一,這也是行長辛邁豪在1月全行工作會(huì)議上確立的指導(dǎo)思想,在信息技術(shù)方面的定位就是“加強(qiáng)信息技術(shù)風(fēng)險(xiǎn)管控,將信息技術(shù)風(fēng)險(xiǎn)納入銀行全面風(fēng)險(xiǎn)管理體系”。信息安全管理工作是2009年全行科技工作的重點(diǎn)任務(wù),是優(yōu)先投入資源、重點(diǎn)保障的工作目標(biāo)。由此可見我行對(duì)于信息科技風(fēng)險(xiǎn)管理的重視。
現(xiàn)階段,根據(jù)我行技術(shù)和管理的實(shí)際情況,信息科技風(fēng)險(xiǎn)管理采用“廣度優(yōu)先、逐步提升”的策略,重點(diǎn)在管理、技術(shù)、人員等方面提升信息安全管理水平和管理能力,建立管理與技術(shù)結(jié)合的全方位的風(fēng)險(xiǎn)管理體系,變被動(dòng)應(yīng)對(duì)為主動(dòng)防范。具體說來,主要采取以下幾方面的措施開展信息安全工作。
第一,將信息科技風(fēng)險(xiǎn)管理和信息安全納入我行五年科技戰(zhàn)略規(guī)劃的實(shí)施目標(biāo)。為了提髙信息技術(shù)整體核心競爭力,提升信息技術(shù)對(duì)業(yè)務(wù)戰(zhàn)略發(fā)展的長期可持續(xù)支持能力,我行于2008年完成了五年科技戰(zhàn)略規(guī)劃目標(biāo)和實(shí)施路徑的制定,信息科技風(fēng)險(xiǎn)管理和信息安全是科技規(guī)劃的重要組成部分之一。科技規(guī)劃中明確了信息安全工作的中長期目標(biāo),定義了信息安全機(jī)制建設(shè)、信息安全相關(guān)系統(tǒng)和管理平臺(tái)建設(shè)等多方面的信息安全管理實(shí)施路徑,我行在未來幾年內(nèi)將根據(jù)科技規(guī)劃的實(shí)施路徑逐步開展信息安全建設(shè),提升信息風(fēng)險(xiǎn)防控能力。
第二,完善信息科技治理,大力開展信息科技風(fēng)險(xiǎn)管理機(jī)制建設(shè),建立信息科技風(fēng)險(xiǎn)管理制度基礎(chǔ)。以前,國內(nèi)商業(yè)銀行的信息安全管理普遍存在一個(gè)誤區(qū),認(rèn)為部署了髙性能的硬件設(shè)備、實(shí)現(xiàn)了雙機(jī)熱備份、做好了生產(chǎn)運(yùn)行風(fēng)險(xiǎn)控制,就算完成了信息科技風(fēng)險(xiǎn)控制的工作。其實(shí)不然,因?yàn)樾畔踩粏问羌夹g(shù)問題,更是管理問題,只有持續(xù)完善信息科技治理架構(gòu),從組織架構(gòu)和制度等管理層面采取防范措施,才能真正實(shí)現(xiàn)信息安全管理的目標(biāo)。我行在信息科技治理方面的措施主要包括三個(gè)方面。首先,認(rèn)真學(xué)習(xí)和領(lǐng)會(huì)監(jiān)管機(jī)構(gòu)對(duì)信息技術(shù)風(fēng)險(xiǎn)控制的要求,吸收借鑒同業(yè)經(jīng)驗(yàn),將監(jiān)管要求和同業(yè)經(jīng)驗(yàn)轉(zhuǎn)化為行內(nèi)工作規(guī)范,建立系統(tǒng)完善的信息技術(shù)風(fēng)險(xiǎn)管理組織架構(gòu)和機(jī)制,建立了三道防線、三個(gè)小組和三項(xiàng)機(jī)制。三道防線是明確了信息技術(shù)部、合規(guī)部、稽核部為主體的信息技術(shù)風(fēng)險(xiǎn)三道防線的職能分工;三個(gè)小組是成立了信息系統(tǒng)突發(fā)事件應(yīng)急領(lǐng)導(dǎo)小組、應(yīng)急處置小組和支持保障小組,做好突發(fā)事件應(yīng)急處理;三項(xiàng)機(jī)制是信息技術(shù)風(fēng)險(xiǎn)管理保障機(jī)制、信息技術(shù)風(fēng)險(xiǎn)評(píng)估和預(yù)警機(jī)制及信息技術(shù)風(fēng)險(xiǎn)應(yīng)急處置機(jī)制。
其次,建立健全信息科技規(guī)章制度。為了做好制度建設(shè),我行信息技術(shù)部專門制定了《科技規(guī)章制度管理辦法》,明確了信息科技相關(guān)制度制定、修訂、廢止的流程和審批制度。在管理辦法的指引下,切實(shí)抓好制度建設(shè),近兩年每年制定、修訂的制度都在20項(xiàng)以上,形成了總數(shù)達(dá)到60余個(gè)的全行科技規(guī)章制度體系。同時(shí)加強(qiáng)制度的宣講、檢查、整改機(jī)制。對(duì)于新建立的制度,制定一項(xiàng),宣講一項(xiàng),檢查一項(xiàng),違章整改一項(xiàng)。再次,加強(qiáng)信息安全隊(duì)伍建設(shè),提髙員工信息安全風(fēng)險(xiǎn)防范意識(shí)和水平,通過理論和實(shí)踐的結(jié)合,培養(yǎng)髙素質(zhì)的信息安全管理團(tuán)隊(duì)。去年我行在總行各部門和各分行科技部設(shè)立了信息安全崗,專門負(fù)責(zé)組織、落實(shí)本單位的信息安全管理工作。為了提髙信息安全崗人員的知識(shí)水平和操作技能,我行與廣州市信息安全協(xié)會(huì)共同設(shè)計(jì)了培訓(xùn)課程,組織總行信息安全崗人員和總行信息技術(shù)部相關(guān)崗位人員分批參加了信息安全繼續(xù)教育培訓(xùn),實(shí)現(xiàn)總行信息安全崗滿足《廣東省公安廳關(guān)于計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的實(shí)施辦法》中關(guān)于持證上崗的監(jiān)管要求,今年將實(shí)現(xiàn)分行信息安全崗全部持證上崗。我們同時(shí)認(rèn)識(shí)到,信息科技風(fēng)險(xiǎn)防范不僅是信息安全崗的事情,而且是全體員工的基本任務(wù)。因此正在組織編寫全員信息安全手冊,對(duì)于桌面電腦安全、信息保密等基礎(chǔ)信息安全知識(shí)開展普及教育,屆時(shí)將人手一冊,確保全體員工了解并遵守信息安全管理要求。
第三,采取有效的信息科技風(fēng)險(xiǎn)管理的手段防范和化解信息安全風(fēng)險(xiǎn)。首先,持續(xù)開展信息科技風(fēng)險(xiǎn)檢查、評(píng)估、整改這一不斷循環(huán)、螺旋上升的工作。一方面認(rèn)真開展內(nèi)部審計(jì)和外部審計(jì)工作,通過審計(jì)發(fā)現(xiàn)制度、流程、操作等方面中的風(fēng)險(xiǎn);另一方面積極組織信息技術(shù)部的風(fēng)險(xiǎn)自查,每月定期開展總分行數(shù)據(jù)中心機(jī)房現(xiàn)場檢查,每季度開展數(shù)據(jù)庫操作、用戶管理等髙風(fēng)險(xiǎn)操作的專項(xiàng)檢查。根據(jù)審計(jì)要求和自查結(jié)果,嚴(yán)格落實(shí)風(fēng)險(xiǎn)整改工作,將整改任務(wù)落實(shí)到每季度、每月、每周的科技工作計(jì)劃中。同時(shí)逐步擴(kuò)大風(fēng)險(xiǎn)檢查的廣度和深度,主動(dòng)發(fā)現(xiàn)并積極防范風(fēng)險(xiǎn),通過風(fēng)險(xiǎn)整改實(shí)現(xiàn)持續(xù)改進(jìn)。其次,嚴(yán)抓四方面的生產(chǎn)運(yùn)行安全管理工作:一是完善基礎(chǔ)設(shè)施建設(shè),化解機(jī)房環(huán)境、硬件設(shè)備等基礎(chǔ)設(shè)施的風(fēng)險(xiǎn);二是建立和完善災(zāi)難備份中心,做好業(yè)務(wù)連續(xù)性建設(shè);三是提升運(yùn)行管理的水平,推進(jìn)運(yùn)行流程化和集中化管理,防范操作風(fēng)險(xiǎn),確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。四是完善應(yīng)急預(yù)案,積極組織開展應(yīng)急演練,切實(shí)提髙風(fēng)險(xiǎn)防控水平。
記者:信息科技風(fēng)險(xiǎn)管理有時(shí)會(huì)影響效率,您如何看待這兩個(gè)因素的平衡?
新標(biāo)準(zhǔn)更關(guān)注業(yè)務(wù)
IT治理的驅(qū)動(dòng)力意在從董事會(huì)等治理層面確立IT的價(jià)值和投資的決策機(jī)制,確保IT戰(zhàn)略與業(yè)務(wù)戰(zhàn)略的一致性,革新性地驅(qū)動(dòng)業(yè)務(wù)的發(fā)展。信息安全管理新標(biāo)準(zhǔn)從風(fēng)險(xiǎn)與成本的平衡過渡,到要定期報(bào)告信息安全管理績效,反映了信息安全管理標(biāo)準(zhǔn)的發(fā)展進(jìn)入成熟期,也反映了治理層面更加重視對(duì)信息安全投入的預(yù)期監(jiān)控,同時(shí)對(duì)風(fēng)險(xiǎn)管理的度量也是相關(guān)方、管理層共同關(guān)心的話題。
信息安全的目標(biāo)是與業(yè)務(wù)的發(fā)展目標(biāo)高度一致的,因此新標(biāo)準(zhǔn)要求信息安全風(fēng)險(xiǎn)管理要聚焦信息,而信息是融合在整個(gè)業(yè)務(wù)流程中的。新的標(biāo)準(zhǔn)摒棄了原來識(shí)別資產(chǎn)、資產(chǎn)威脅與脆弱性的方法論,肯定了管理層面以業(yè)務(wù)價(jià)值為基礎(chǔ),識(shí)別信息、確定信息的價(jià)值,也更方便與其他以業(yè)務(wù)流程為基礎(chǔ)的ISO管理標(biāo)準(zhǔn)相融合。
由于更加關(guān)注業(yè)務(wù),新標(biāo)準(zhǔn)要求對(duì)業(yè)務(wù)、對(duì)組織目標(biāo)的理解,從內(nèi)外部環(huán)境包括宏觀政策、技術(shù)發(fā)展、行業(yè)動(dòng)向、微觀的組織環(huán)境來分析,此外還要考慮環(huán)境因素對(duì)業(yè)務(wù)的影響和對(duì)信息安全的要求。
信息安全風(fēng)險(xiǎn)在新標(biāo)準(zhǔn)里變得更加生動(dòng)、中性。新標(biāo)準(zhǔn)要求定義風(fēng)險(xiǎn)責(zé)任人,這個(gè)責(zé)任人更可能是業(yè)務(wù)的負(fù)責(zé)人或某項(xiàng)具體活動(dòng)的負(fù)責(zé)人,而不僅僅是IT人員。對(duì)信息安全風(fēng)險(xiǎn)的偏好與態(tài)度完全與組織的全面風(fēng)險(xiǎn)管理框架相融合。
IT技術(shù)對(duì)新標(biāo)準(zhǔn)的影響
云技術(shù)的廣泛應(yīng)用、外包業(yè)務(wù)的興起,讓供應(yīng)鏈的安全風(fēng)險(xiǎn)管理從組織的戰(zhàn)略層面到日常運(yùn)作層面都要進(jìn)行識(shí)別、利用、控制。新標(biāo)準(zhǔn)新增供應(yīng)鏈關(guān)系管理,關(guān)注供應(yīng)鏈關(guān)系中的信息安全和服務(wù)商交付過程的信息安全。
同時(shí),大數(shù)據(jù)的興起使得數(shù)據(jù)泄露的風(fēng)險(xiǎn)加大,標(biāo)準(zhǔn)將加密控制從一個(gè)控制目標(biāo)項(xiàng)上升為一個(gè)控制域;此外,移動(dòng)互聯(lián)影響著人們的生活和辦公,新標(biāo)準(zhǔn)也新增了移動(dòng)設(shè)備使用的安全策略。
在組織層面,除了日常運(yùn)作,管理者還需特別考慮項(xiàng)目的信息安全管理,這也是新增控制項(xiàng)。同時(shí),完善了系統(tǒng)開發(fā)的全生命周期信息安全管理,包括需求分析、開發(fā)環(huán)境、測試數(shù)據(jù)保護(hù)、測試驗(yàn)收、變更管理、開發(fā)外包管理等控制項(xiàng)。
新技術(shù)和風(fēng)險(xiǎn)點(diǎn)的出現(xiàn),使得風(fēng)險(xiǎn)處理采取的控制措施不再拘泥于附錄A。附錄A僅作為基本必須的選項(xiàng)(見標(biāo)準(zhǔn)條款 6.1.3c)。
從結(jié)構(gòu)來說,新版標(biāo)準(zhǔn)與其他ISO系列標(biāo)準(zhǔn)的框架完全一致,遵從“ISO導(dǎo)則83”,這是ISO管理體系認(rèn)證標(biāo)準(zhǔn)的基本框架,方便與ISO其他管理體系的整合。
隨著寬帶網(wǎng)絡(luò)和用戶規(guī)模的不斷增長,用戶對(duì)寬帶接入業(yè)務(wù)的高可用性要求不斷增強(qiáng),對(duì)電信運(yùn)營商在IP城域、接入網(wǎng)絡(luò)和支撐系統(tǒng)提出了更高的安全性要求。本文從信息安全管理的理念、方法學(xué)和相關(guān)技術(shù)入手,結(jié)合電信IP城域網(wǎng),提出電信IP城域網(wǎng)安全管理、風(fēng)險(xiǎn)評(píng)估和加固的實(shí)踐方法建議。
關(guān)鍵字(Keywords):
安全管理、風(fēng)險(xiǎn)、弱點(diǎn)、評(píng)估、城域網(wǎng)、IP、AAA、DNS
1信息安全管理概述
普遍意義上,對(duì)信息安全的定義是“保護(hù)信息系統(tǒng)和信息,防止其因?yàn)榕既换驉阂馇址付鴮?dǎo)致信息的破壞、更改和泄漏,保證信息系統(tǒng)能夠連續(xù)、可靠、正常的運(yùn)行”。所以說信息安全應(yīng)該理解為一個(gè)動(dòng)態(tài)的管理過程,通過一系列的安全管理活動(dòng)來保證信息和信息系統(tǒng)的安全需求得到持續(xù)滿足。這些安全需求包括“保密性”、“完整性”、“可用性”、“防抵賴性”、“可追溯性”和“真實(shí)性”等。
信息安全管理的本質(zhì),可以看作是動(dòng)態(tài)地對(duì)信息安全風(fēng)險(xiǎn)的管理,即要實(shí)現(xiàn)對(duì)信息和信息系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行有效管理和控制。標(biāo)準(zhǔn)ISO15408-1(信息安全風(fēng)險(xiǎn)管理和評(píng)估規(guī)則),給出了一個(gè)非常經(jīng)典的信息安全風(fēng)險(xiǎn)管理模型,如下圖一所示:
圖一信息安全風(fēng)險(xiǎn)管理模型
既然信息安全是一個(gè)管理過程,則對(duì)PDCA模型有適用性,結(jié)合信息安全管理相關(guān)標(biāo)準(zhǔn)BS7799(ISO17799),信息安全管理過程就是PLAN-DO-CHECK-ACT(計(jì)劃-實(shí)施與部署-監(jiān)控與評(píng)估-維護(hù)和改進(jìn))的循環(huán)過程。
圖二信息安全體系的“PDCA”管理模型
2建立信息安全管理體系的主要步驟
如圖二所示,在PLAN階段,就需要遵照BS7799等相關(guān)標(biāo)準(zhǔn)、結(jié)合企業(yè)信息系統(tǒng)實(shí)際情況,建設(shè)適合于自身的ISMS信息安全管理體系,ISMS的構(gòu)建包含以下主要步驟:
(1)確定ISMS的范疇和安全邊界
(2)在范疇內(nèi)定義信息安全策略、方針和指南
(3)對(duì)范疇內(nèi)的相關(guān)信息和信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估
a)Planning(規(guī)劃)
b)InformationGathering(信息搜集)
c)RiskAnalysis(風(fēng)險(xiǎn)分析)
uAssetsIdentification&valuation(資產(chǎn)鑒別與資產(chǎn)評(píng)估)
uThreatAnalysis(威脅分析)
uVulnerabilityAnalysis(弱點(diǎn)分析)
u資產(chǎn)/威脅/弱點(diǎn)的映射表
uImpact&LikelihoodAssessment(影響和可能性評(píng)估)
uRiskResultAnalysis(風(fēng)險(xiǎn)結(jié)果分析)
d)Identifying&SelectingSafeguards(鑒別和選擇防護(hù)措施)
e)Monitoring&Implementation(監(jiān)控和實(shí)施)
f)Effectestimation(效果檢查與評(píng)估)
(4)實(shí)施和運(yùn)營初步的ISMS體系
(5)對(duì)ISMS運(yùn)營的過程和效果進(jìn)行監(jiān)控
(6)在運(yùn)營中對(duì)ISMS進(jìn)行不斷優(yōu)化
3IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理主要實(shí)踐步驟
目前,寬帶IP網(wǎng)絡(luò)所接入的客戶對(duì)網(wǎng)絡(luò)可用性和自身信息系統(tǒng)的安全性需求越來越高,且IP寬帶網(wǎng)絡(luò)及客戶所處的信息安全環(huán)境和所面臨的主要安全威脅又在不斷變化。IP寬帶網(wǎng)絡(luò)的運(yùn)營者意識(shí)到有必要對(duì)IP寬帶網(wǎng)絡(luò)進(jìn)行系統(tǒng)的安全管理,以使得能夠動(dòng)態(tài)的了解、管理和控制各種可能存在的安全風(fēng)險(xiǎn)。
由于網(wǎng)絡(luò)運(yùn)營者目前對(duì)于信息安全管理還缺乏相應(yīng)的管理經(jīng)驗(yàn)和人才隊(duì)伍,所以一般采用信息安全咨詢外包的方式來建立IP寬帶網(wǎng)絡(luò)的信息安全管理體系。此類咨詢項(xiàng)目一般按照以下幾個(gè)階段,進(jìn)行項(xiàng)目實(shí)踐:
3.1項(xiàng)目準(zhǔn)備階段。
a)主要搜集和分析與項(xiàng)目相關(guān)的背景信息;
b)和客戶溝通并明確項(xiàng)目范圍、目標(biāo)與藍(lán)圖;
c)建議并明確項(xiàng)目成員組成和分工;
d)對(duì)項(xiàng)目約束條件和風(fēng)險(xiǎn)進(jìn)行聲明;
e)對(duì)客戶領(lǐng)導(dǎo)和項(xiàng)目成員進(jìn)行意識(shí)、知識(shí)或工具培訓(xùn);
f)匯報(bào)項(xiàng)目進(jìn)度計(jì)劃并獲得客戶領(lǐng)導(dǎo)批準(zhǔn)等。
3.2項(xiàng)目執(zhí)行階段。
a)在項(xiàng)目范圍內(nèi)進(jìn)行安全域劃分;
b)分安全域進(jìn)行資料搜集和訪談,包括用戶規(guī)模、用戶分布、網(wǎng)絡(luò)結(jié)構(gòu)、路由協(xié)議與策略、認(rèn)證協(xié)議與策略、DNS服務(wù)策略、相關(guān)主機(jī)和數(shù)據(jù)庫配置信息、機(jī)房和環(huán)境安全條件、已有的安全防護(hù)措施、曾經(jīng)發(fā)生過的安全事件信息等;
c)在各個(gè)安全域進(jìn)行資產(chǎn)鑒別、價(jià)值分析、威脅分析、弱點(diǎn)分析、可能性分析和影響分析,形成資產(chǎn)表、威脅評(píng)估表、風(fēng)險(xiǎn)評(píng)估表和風(fēng)險(xiǎn)關(guān)系映射表;
d)對(duì)存在的主要風(fēng)險(xiǎn)進(jìn)行風(fēng)險(xiǎn)等級(jí)綜合評(píng)價(jià),并按照重要次序,給出相應(yīng)的防護(hù)措施選擇和風(fēng)險(xiǎn)處置建議。
3.3項(xiàng)目總結(jié)階段
a)項(xiàng)目中產(chǎn)生的策略、指南等文檔進(jìn)行審核和批準(zhǔn);
b)對(duì)項(xiàng)目資產(chǎn)鑒別報(bào)告、風(fēng)險(xiǎn)分析報(bào)告進(jìn)行審核和批準(zhǔn);
c)對(duì)需要進(jìn)行的相關(guān)風(fēng)險(xiǎn)處置建議進(jìn)行項(xiàng)目安排;
4IP寬帶網(wǎng)絡(luò)安全風(fēng)險(xiǎn)管理實(shí)踐要點(diǎn)分析
運(yùn)營商IP寬帶網(wǎng)絡(luò)和常見的針對(duì)以主機(jī)為核心的IT系統(tǒng)的安全風(fēng)險(xiǎn)管理不同,其覆蓋的范圍和影響因素有很大差異性。所以不能直接套用通用的風(fēng)險(xiǎn)管理的方法和資料。在項(xiàng)目執(zhí)行的不同階段,需要特別注意以下要點(diǎn):
4.1安全目標(biāo)
充分保證自身IP寬帶網(wǎng)絡(luò)及相關(guān)管理支撐系統(tǒng)的安全性、保證客戶的業(yè)務(wù)可用性和質(zhì)量。
4.2項(xiàng)目范疇
應(yīng)該包含寬帶IP骨干網(wǎng)、IP城域網(wǎng)、IP接入網(wǎng)及接入網(wǎng)關(guān)設(shè)備、管理支撐系統(tǒng):如網(wǎng)管系統(tǒng)、AAA平臺(tái)、DNS等。
4.3項(xiàng)目成員
應(yīng)該得到運(yùn)營商高層領(lǐng)導(dǎo)的明確支持,項(xiàng)目組長應(yīng)該具備管理大型安全咨詢項(xiàng)目經(jīng)驗(yàn)的人承擔(dān),且項(xiàng)目成員除了包含一些專業(yè)安全評(píng)估人員之外,還應(yīng)該包含與寬帶IP相關(guān)的“業(yè)務(wù)與網(wǎng)絡(luò)規(guī)劃”、“設(shè)備與系統(tǒng)維護(hù)”、“業(yè)務(wù)管理”和“相關(guān)系統(tǒng)集成商和軟件開發(fā)商”人員。
4.4背景信息搜集:
背景信息搜集之前,應(yīng)該對(duì)信息搜集對(duì)象進(jìn)行分組,即分為IP骨干網(wǎng)小組、IP接入網(wǎng)小組、管理支撐系統(tǒng)小組等。分組搜集的信息應(yīng)包含:
a)IP寬帶網(wǎng)絡(luò)總體架構(gòu)
b)城域網(wǎng)結(jié)構(gòu)和配置
c)接入網(wǎng)結(jié)構(gòu)和配置
d)AAA平臺(tái)系統(tǒng)結(jié)構(gòu)和配置
e)DNS系統(tǒng)結(jié)構(gòu)和配置
f)相關(guān)主機(jī)和設(shè)備的軟硬件信息
g)相關(guān)業(yè)務(wù)操作規(guī)范、流程和接口
h)相關(guān)業(yè)務(wù)數(shù)據(jù)的生成、存儲(chǔ)和安全需求信息
i)已有的安全事故記錄
j)已有的安全產(chǎn)品和已經(jīng)部署的安全控制措施
k)相關(guān)機(jī)房的物理環(huán)境信息
l)已有的安全管理策略、規(guī)定和指南
m)其它相關(guān)
4.5資產(chǎn)鑒別
資產(chǎn)鑒別應(yīng)該自頂向下進(jìn)行鑒別,必須具備層次性。最頂層可以將資產(chǎn)鑒別為城域網(wǎng)、接入網(wǎng)、AAA平臺(tái)、DNS平臺(tái)、網(wǎng)管系統(tǒng)等一級(jí)資產(chǎn)組;然后可以在一級(jí)資產(chǎn)組內(nèi),按照功能或地域進(jìn)行劃分二級(jí)資產(chǎn)組,如AAA平臺(tái)一級(jí)資產(chǎn)組可以劃分為RADIUS組、DB組、計(jì)費(fèi)組、網(wǎng)絡(luò)通信設(shè)備組等二級(jí)資產(chǎn)組;進(jìn)一步可以針對(duì)各個(gè)二級(jí)資產(chǎn)組的每個(gè)設(shè)備進(jìn)行更為細(xì)致的資產(chǎn)鑒別,鑒別其設(shè)備類型、地址配置、軟硬件配置等信息。
4.6威脅分析
威脅分析應(yīng)該具有針對(duì)性,即按照不同的資產(chǎn)組進(jìn)行針對(duì)性威脅分析。如針對(duì)IP城域網(wǎng),其主要風(fēng)險(xiǎn)可能是:蠕蟲、P2P、路由攻擊、路由設(shè)備入侵等;而對(duì)于DNS或AAA平臺(tái),其主要風(fēng)險(xiǎn)可能包括:主機(jī)病毒、后門程序、應(yīng)用服務(wù)的DOS攻擊、主機(jī)入侵、數(shù)據(jù)庫攻擊、DNS釣魚等。
4.7威脅影響分析
是指對(duì)不同威脅其可能造成的危害進(jìn)行評(píng)定,作為下一步是否采取或采取何種處置措施的參考依據(jù)。在威脅影響分析中應(yīng)該充分參考運(yùn)營商意見,尤其要充分考慮威脅發(fā)生后可能造成的社會(huì)影響和信譽(yù)影響。
4.8威脅可能性分析
是指某種威脅可能發(fā)生的概率,其發(fā)生概率評(píng)定非常困難,所以一般情況下都應(yīng)該采用定性的分析方法,制定出一套評(píng)價(jià)規(guī)則,主要由運(yùn)營商管理人員按照規(guī)則進(jìn)行評(píng)價(jià)。