企业信息资源安全管理体系的构建

摘　要：信息安全技术是信息安全控制的重要手段，但单独依靠技术手段实现安全的能力是有限的，安全技术应当有适当的管理和程序来支持，否则，安全技术发挥不了其应有的安全作用。因此，研究信息安全管理体系对信息安全性的提高有重要的理论和现实意义。

关键词：信息完全；技术；体系
一、前言
　　随着金川集团公司跨国经营战略的实施，企业信息化进程不断深入，企业信息安全己经引起公司领导的的高度重视，但依然存在不少问题。调查结果表明，造成网络安全事件发生的原因有很多，一是安全技术保障体系尚不完善，企业花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标;二是应急反应体系没有经常化、制度化;三是企业信息安全的标准、制度建设滞后。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的80%，登录密码过于简单或未修改密码导致发生安全事件的占19%。近年来，虽然使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，但是，很多企业存在安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平还比较低。因此现代企业迫切需要建立信息资源安全管理体系。
二、企业信息资源安全管理体系构建
1、企业信息安全组织管理
　　企业信息安全组织体系定义为一个三层的组织，组织架构如图所示:

企业信息安全组织
　　l)总经理通过总经办负责企业信息、安全的决策事项。2)总经理任命一名信息安全主管负责企业信息安全的风险管理，该主管领导一个有各个部门主要负责人参加的信息安全管理小组维护企业信息安全管理体系、管理企业信息安全风险。3)总经理任命一名信息安全审计师，负责企业信息安全活动的审计。4)行政部门、业务部门和分支机构执行信息安全管理体系中的相应安全政策，并在信息安全管理主管的领导下，实施风险管理计划。各个部门负责人有义务向信息安全主管报告所管辖部门的信息安全状况，信息安全主管应定期在组织范围内和向上级机关报告企业信息安全状况。
2、企业信息安全政策管理
　　根据企业信息安全风险分析的结果和信息安全政策制定的原则，设计信息安全政策体系包括以下几点：（1）企业信息安全风险管理政策：a)信息安全风险定义，包括风险等级定义和安全类别定义;b)信息安全风险评估执行要求，包括时问周期要求、范围要求、基于事件的风险评估要求:c)信息安全风险评估责任，包括信息安全管理人员责任和业务部门责任。（2）企业信息安全体系管理政策：a)管理体系的规划，包括规划的时机、规划的内容、规划的依据、规划的责任人:b)管理体系的实施，包括发布、培训、执行奖惩。c)管理体系的验证，包括周期管理评审、安全审计、事件评审、残留风险评估。d)管理体系的改进，包括分析和变更控制。（3）病毒抵御安全政策：a)操作程序一运行网络管理人员日常工作的程序。这部分安全政策主要控制的风险是不规范的管理活动造成无效或低效的管理。b)关键资源监控一识别出关键设备并对关键设备的运行状态进行监控。这部分安全政策主要控制的风险是关键资源异常情况不能被及时发现和处理。c)软件系统维护一对软件系统及时地升级和打补丁。这部分安全政策主要控制的风险是软件系统未及时升级和/或打补丁而造成的信息故障或者安全事故。d)敏感资料存储一对在业务进行过程中产生的敏感信息的存放管理。这部分安全政策主要控制的风险是由于对敏感资料存储不当导致资料的丢失或泄漏。
3、企业信息安全事件管理
　　目前，没有任何一种具有代表性的信息安全策略或防护措施可对信息、信息系统、服务或网络提供绝对的保护。即使采取了防护措施，仍可能存在残留的弱点，使得信息安全防护变得无效，从而导致信息安全事件发生，并对企业的业务运行直接或间接地产生负面影响。此外，以前未被认识到的威胁也将会不可避免地发生。企业如果对如何应对这些事件没有作好充分准备，其任何实际响应的效率都会大打折扣，甚至还可能增加潜在的业务负面影响。因此，企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必企业应着重做好信息安全事件管理工作。信息安全事件管理方案的必要过程包括：（1）发现和报告发生的信息安全事态，无论是由企业人员／顾客引起的还是自动发生的（如防火墙警报）。（2）收集有关信息安全事态的信息，由企业的运行支持组人员进行评估，确定该事态属于信息安全事件还是发生了误报。确认该事态是否属于信息安全事件，如果是，则立即作出响应，同时启动必要的法律取证分析、沟通活动。（3）进行评审以确定该信息安全事件是否处于控制下。（4）如果处于控制下，则启动任何所需要的进一步的后续响应，以确保所有相关信息准备完毕，供事件解决后评审所用。（5）如果不在控制下，则采取“危机求助”活动并召集相关人员，如企业中负责业务连续性的管理者和工作组。（6）在整个阶段按要求进行上报，以便进一步评估和决策。（7）确保所有相关人员，正确记录所有活动以备后面分析所用。（8）确保对电子证据进行收集和安全保存，同时确保电子证据的安全保存得到持续监视，以备法律起诉或内部处罚所需。（9）确保包括信息安全事件追踪和事件报告更新的变更控制制度得到维护，从而使得信息安全事态／事件数据库保持最新。
4、企业信息安全技术管理
　　我们所构建的信息安全管理体系中，不能忽视技术的作用，虽然只使用技术控制不能保证一个信息安全环境，但是在通常情况下，它是信息安全项目的基础部分。（1）密码服务技术。密码服务技术为密码的有效应用提供技术支持。通常密码服务系统由密码芯片、密码模块、密码机或软件，以及密码服务接口构成。通常，企业会涉及以下几个方面的密码应用：数字证书运算、密钥加密运算、数据传输、数据储存、数字签名、数字信封。（2）故障恢复技术。故障恢复的主要措施有：群集配置，由多台计算机组成群集结构，尽可能消除整个系统可能存在的单点故障；双机热备份，在任何一台设备失效的情况下，按照预先定义的规则快速切换至相应的备份设备，维持业务的正常运行；故障恢复管理，由专门的集群软件进行管理和监控，使应用系统在任何软硬件组成单元发生故障时，能够根据 故障情况重新分配任务。（3）恶意代码防范技术：恶意代码防范技术包括四大系统：病毒查杀系统、网关防毒系统、群件防毒系统、集中管理系统。（4）入侵检测技术。入侵检测系统是实现入侵检测功能的一系列的软件、硬件的组合。入侵检测系统以实时方式监测网络通信，对其进行分析并实时安全预警，从而使企业能够有效管理内部人员和资源，并对外部攻击进行早期预警和跟踪，有效保障系统安全。基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。通过比较这些审计记录文件与攻击签名是否匹配，如果匹配立即报警采取行动.基于网络的入侵检测系统把原始的网络数据包作为数据源。它是利用网络适配器来实时监视并分析通过网络进行传输的所有通信业务。（5）扫描与分析技术。端口扫描工具能识别网络上活动的计算机，同样也可以识别这些计算机上的活动端口和服务。可以扫描特定类型的计算机、协议和资源，也可进行普遍扫描。漏洞扫描可以扫描网络并得到非常详细的信息。可以识别暴露的用户名和组，显示开放的网络共享，并暴露配置问题和其他服务器漏洞。内容过滤器也能有效地保护机构系统，使其不受误用和无意的拒绝服务。
5、企业信息安全培训的必要性
　　公司目前很多岗位和部门的员工都从事涉密数据相关工作，有很多数据和信息涉及到公司的机密和知识产权，但是大多数员工信息安全意识差，在平时的工作中在意识上和实际工作中存在很多问题，导致涉密数据的外漏，给公司的生产经营造成不可挽回的损失。在有管理组织、政策制度和技术保障的情况下，通过对涉密数据相关工作人员的信息安全意识和信息安全操作培训是非常必要的。
　　三、结语
　　总之，企业信息安全管理体系是一个企业日常经营和持续发展的基本保证，也是企业战略和管理的重要环节。建立信息安全管理体系的目的就是降低信息风险对企业的危害。并将企业信息系统投资和商业利益最大化。信息安全不只是个技术问题，而更多的是商业、管理和法律问题。实现信息安全不仅仅需要采用技术措施，还需要更多地借助于技术以外的其他手段。
参考文献：
[1]刘仁勇，王卫平.企业信息安全管理研究[J].信息安全与通信保密，2007（6）
[2]林东岱，曹天杰.企业信息系统安全——威胁与对策[M].北京：电子工业出版社，20043、冯登国，孙锐，张阳.信息安全体系结构[M].北京：清华大学出版社，2008