信息安全方针和策略
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全方针和策略范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全方针和策略范文第1篇
论文关键词:信息安全外包风险管理
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。
3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
信息安全方针和策略范文第2篇
关键词:
校园网安全系统的建设目标是根据学校信息网络结构和应用模式,针对可能存在的安全漏洞和安全需求,在不同层次上提出安全级别要求,并提出相应的解决方案,制订相应的安全策略,编制安全规划,采用合理、先进的技术实施安全工程,加强安全管理,保证系统的安全性。
对于这样规模庞大、结构复杂、涉及人员众多的网络体系需要建立全网安全保障系统,针对不同的业务特征进行合理的安全保障,确保业务系统的安全运行。
我们在设计学校信息安全保障体系的过程中,借鉴IATF的信息安全保障体系模型构建学校信息安全保障体系的技术体系和管理体系,这些体系构成学校所需的安全体系。在技术体系和管理体系中的安全控制和对策的选择和定制中,采用“最佳实施”方法,通过列举满足实际需求和实际应用来构造安全保障体系。
在学校安全保障体系设计过程中,整体性一直是最核心的问题,因此为了保障安全体系具有一定的完整性,避免对安全问题的遗漏,需要在方法论中引入了安全框架模型。
安全保障体系框架示意图
上图中,最下层是安全体系要保护的对象,根据信息资产逻辑图,将保护对象分成计算区域、区域边界、通信网络和基础设施(指PKI/PMI/KMI中心和应急响应中心)等。计算区域部分主要指提供业务的网络服务,计算区域内部可以根据学校信息化的实际需求进一步细分为子区域,边界和通信网络。对不同区域、边界和通信网络,其安全需求是不同的。保护对象框架将学校信息系统的安全问题细分为一组结构化的安全需求。
通过将对策框架中的所有安全控制中的策略,组织,技术和运作分别提炼,组成相应的策略体系、组织体系、技术体系和运作体系。每个体系由对策框架组成,对策框架由一组安全控制组成,这些安全控制是根据保护对象中的安全需求设计和选择出来的。每一条安全控制都包含策略,组织,技术和运作四个要素。
在校园网的信息系统安全等级保护方面,国内尚未制定相关标准,但可以参考公安部制定的《信息系统安全等级保护基本要求》进行设计。基本安全要求分为基本技术要求和基本管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关,主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现;管理类安全要求与信息系统中各种角色参与的活动有关,主要通过控制各种角色的活动,从政策、制度、规范、流程以及记录等方面做出规定来实现。
基本技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出;基本管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出,基本技术要求和基本管理要求是确保信息系统安全不可分割的两个部分。
根据公安部《信息系统等级保护技术要求》中相应技术要求,以满足物理安全、网络安全、主机安全、应用安全、数据安全及存备份恢复等几方面的基本要求为前提。
在基于人、技术及运行的信息安全纵深防御体系中,对人的行为的控制是信息安全保障最主要的方面。下图所示为信息安全管理体系框架,该体系包括安全方针、安全策略、安全组织、人员安全、物理安全、安全制度与管理办法、安全标准与规范、安全政策、安全法律法规与标准、安全培训以及安全规范。
安全管理体系框架图
安全策略作为建立安全机制必须首要考虑的核心,它对安全措施的具体实践提供指导和支持。制定一套系统、科学的安全策略是指导学校等级化信息安全保障体系安全建设的重要内容。
建立安全组织机构、完善安全管理制度,建立有效的工作机制,做到事有人管,职责分工明确是有效防范由于内部人员有意无意对系统造成破坏的有效保障措施。
在组织安全方针、安全策略、安全制度与管理方法、安全标准与规范的建设过程中充分体现国家安全政策、安全法律法规与标准是组织充分保障信息系统安全的基础。国家安全政策、安全法律法规与标准从国家和行业的角度制约信息安全,组织必须遵循国家和相关主管部门关于信息系统安全方面的法律法规、政策和制度。
对内部人员进行有组织的安全培训、安全教育,规范人员行为、制定相关章程等对保障学校信息系统安全尤为重要。
信息安全方针和策略范文第3篇
关键词:信息安全;管理体系;ISMS
中图分类号:TP315 文献标识码:A 文章编号:1009-8631(2010)05-0171-02
一、概述
当前,信息资源的开发和利用,已成为信息化建设的核心。信息作为一种重要的资产,已成为大家的共识。其一旦损毁、丢失、或被不失当地曝光。将会给组织带来一系列损失。这些损失是我们不愿意面对的。因此信息安全越来越成为大家关注的热点问题。前国家科技部部长徐冠华曾经指出:“没有信息安全保障的信息工程一定是豆腐渣工程”。
所谓信息安全,是针对技术和管理来说的,为信息处理体统提供安全保护,保护计算机软硬件及信息内容不因偶然意外和恶意的原因而遭到破坏、更改和泄漏。信息安全包括实体安全、运行安全、信息(针对信息内容)安全和管理安全四个方面:
1)实体安全是指保护计算机设备、网络设施以及其他通信与存储介质免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施、过程。
2)运行安全是指为保障系统功能的安全实现。提供一套安全措施(如风险分析、审计跟踪、备份与恢复、应急措施)来保护信息处理过程的安全。
3)信息安全是指防止信息资源的非授权泄漏、更改、破坏,或使信息被非法系统辨别、控制和否认。即确保信息的完整性、机密性、可用性和可控性。
4)管理安全是指通过信息安全相关的法律法令和规章制度以及安全管理手段,确保系统安全生存和运营。
信息安全是一个多层面、多因素、综合和动态的过程。安全措施必须渗透到所有的环节。才能获得全面的保护。为了防范和减少风险,一般的信息系统都部署了基本的防御和检测体系,如防火墙、防病毒软件、入侵检测系统、漏洞扫描设备等等。这些安全技术和安全设备及软件的应用,在很大程度上提高了信息系统的安全性。但是这样做不能从根本上降低安全风险。解决安全问题。因为不能把信息安全问题仅仅当做是技术问题,日常所说的防范黑客入侵和病毒感染只能是信息安全问题的一个方面。一方面由于所有安全产品的功能都是针对某一类问题,并不能应用到所有问题上,所以说它们的功能相对比较狭窄,因此想通过设置安全产品来彻底解决信息安全问题是不可能的;另一方面,信息安全问题并不是固定的、静态的,它会随着信息系统和操作流程的改变而变化。而设置安全产品则是一种静态的解决办法。一般情况下,当产品安装和配置一段时期后,旧的问题解决了。新的安全问题就会产生,安全产品无法进行动态调整来适应安全问题的变化。有效解决上述问题的关键是搭建一个信息安全体系。建设体系化管理手段,通过安全产品的辅助,从而保障信息系统的安全。
二、搭建信息安全管理体系
(一)BS7799
信息安全管理体系是安全管理和安全控制的有效结合体,通过分析信息安全各个环节的实际需求情况和风险情况,建立科学合理的安全控制措施,并且同信息系统审计相结合,从而保证信息资产的安全性、完整性和可用性。国际上制定的信息安全管理标准主要有:英国标准协会制定的信息安全管理体系标准-BS7799;国际信息系统审计与控制协会制定的信息和相关技术控制目标-COBIT;是目前国际上通用的信息系统审计标准;英国政府的中央计算机和通信机构提出的一套IT服务管理标准-ITIL;国际标准化组织(IS01和国际电工委员会(IEC)所制定信息安全管理标准-IS0/IECl335。其中BS7799英国的工业、政府和商业共同需求而发展的一个标准,于1995年2月制定的、世界上第一个信息安全管理体系标准。经过不断的修订,目前已经成为信息安全管理领域的权威标准。其两个组成部分目前已分别成为IS017799和IS027001标准。BST799涵盖了安全所应涉及的方方面面,全面而不失操作性,提供了一个可持续发展提高的信息安全管理环境。在该标准中,信息安全已经不只是人们传统上所讲的安全,而是成为一种系统化和全局化的观念。和以往的安全体系相比,该标准提出的信息安全管理体系(SMS)具有系统化、程序化和文档化的管理特点。
(二)息安全管理体系(ISMs)
信息安全管理体系(LSMS)是组织整体管理体系的一个重要组成部分,是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。基于对业务风险的分析和认识,ISMS包括建立、实施、操作、监视、复查、维护和改进信息安全等一系列的管理活动。IS027001是建立和维护信息安全管理体系的准绳,它一般是要求通过确定的过程来建立ISMS框架:确定体系范围,制定信息安全策略,明确管理职责,通过风险评估确定控制目标和控制方式。整个体系一旦建立起来,组织就必须实施、维护和不断改进ISMS,保持整个体系运作的有效性。
(三)ISMS搭建步骤
当一个组织建立和管理信息安全体系时。BS7799提供了指导性的建议,即遵循PDCA(Plan,Check和Act)的持续改进的管理模式。PDCA循环实际上是有效进行任何一项工作的合乎逻辑的工作程序。对于搭建和管理信息安全体系,其PDCA过程如下:
1)信息安全体系(PLAN)
在PLAN阶段通过风险评估来了解安全需求,根据需求设计解决方案。根据BS7799-2。搭建ISMS一般有如下步骤:
A、定义安全方针:信息安全方针是组织的信息安全委员会制定的高层文件,用于指导组织如何对资产,包括敏感信息进行管理、保护和分配的规则和指示。
B、定义1SMS的范围:ISMS的范围是需要重点进行信息安全管理的领域,组织可根据自己的实际情况。在整个组织范围内、或者在个别部门或领域架构ISMS。
C、实施风险评估:首先对ISMS范围内的信息资产进行鉴定或估计,然后对信息资产面对的各种威胁和脆弱性进行评估,同时对已存在的或规划的安全控制措施进行鉴定。
D、风险管理:根据风险评估与现状调查的结果。确定安全需求,决定如何对信息资产实施保护及保护到何种程度限(如接受风险、避免风险、转移风险或降低风险)。
E、选择控制目标和控制措施:根据风险评估和风险管理的结果,选择合适的控制目标和控制措施来满足特定的安全需求。可以从BS7799-1的中进行选择,也可以应选择一些其它适宜的控制方式。
F、准备适用性申明(SOA):SOA是适合组织需要的控制目标和控制的评论,记录组织内相关的风险控制目标和针对每种风险所采取的各种控制措施。
2)实施信息安全体系(D01
在DO阶段将解决方案付诸实现,实施组织所选择的控制目标与控制措施。
3)检查信息安全体系(cHECK)
在CH ECK阶段进行有关方针、程序、标准与法律法规的符合性检查,对存在的问题采取措施,予以改进,以保证控制措施的有效运行。在此过程中,要根据风险评估的对象及范围的变化情况。以及时调整或完善控制措施。常见的检查措施有:日常检查、从其他处学习、内部ISMS审核、管理评审、趋势分析等。
4)改进信息安全体系(ACT)
在ACT阶段对ISMS进行评价。以检查阶段发现的问题为基础,寻求改进的机会,采取相应的措施进行调整与改进。
信息安全方针和策略范文第4篇
关键词:信息安全 空间信息 信息共享 社区信息化 福州市
一、引言
社区信息化是城市信息化的基石。保障信息安全,是让公众充分利用空间信息及网络技术对基层的公共事务和公益事业实行自我管理、自我服务、自我教育、自我监督的重要前提。本文结合福州市公众空间信息共享服务平台的建设情况,对信息安全保障问题进行初步探讨。
二、福州市公众空间信息服务共享平台的结构
福州市公众空间信息共享服务平台是福州市政府基于中国福州门户网站(政务外网)向公众提供空间信息的一站式服务平台,以数据服务的形式为社区提供需要的海量空间地理基础数据。公众不必关心空间地理基础数据的管理、维护、更新问题,保证了数据的现势性,节约了数据成本。不同权限的社区公众可以通过访问不同的地图服务达到访问不同数据图层的目的。社区公众经政府培训认证后,也可参与平台的建设,叠加标注所在社区的相关属性信息,以达到社区自治的目的。
福州市公众空间信息服务共享平台包括应用层、认证层、接口层、服务层、数据层和管理维护层等六个层次,相互形成一个有机的整体。
⒈应用层
应用层是各社区基于平台服务接口建立的社区应用服务展示系统,为社区公众使用各类空间数据及服务提供途径。从公众角度看,平台是一个信息服务机构,可以是一个传统意义上的桌面应用程序,也可以是Web应用程序或门户网站。此外,通过建立面向不同社区的元数据目录登记注册,可以实现各类共享空间信息的查找,将解决这些数据“如何发现”的问题。
⒉认证层
认证层是福州公众空间信息共享服务平台与政务专网的网络安全体系集成接口。利用PKI/CA证书等成熟安全技术,通过身份标识、授权控制,提供“统一认证管理”,实现“单点登录”。认证层的设计对于平台系统及其信息资源的安全保障非常必要,保证只有授权用户才可以访问和使用平台所提供的相关资源。
⒊接口层
接口层是提供给各类开发用户的Web API(网络应用程序接口)。信息服务、中介机构及社会公众可以使用这些API来和自己的业务应用进行集成,形成自己的业务空间信息应用系统,如商贸地理信息系统、三维旅游系统、现代物流系统、房产销售管理系统,等等;平台也可以使用这些API,来构建综合应用展示系统、多源数据桌面浏览器等系统,为平台使用者提供方便友好的接口。
⒋服务层
服务层是接口层的基础,接口层是服务层的对外表现,服务层实现诸如二维数据引擎、地址编码引擎、元数据引擎等,为接口层提供强大的后台实现支持,这二者合称为应用接口层。通过应用接口层,平成对各类空间地理基础信息资源的对外共享和,将解决空间信息资源“如何”的问题。
⒌数据层
数据层是整个平台的基础。平台的数据,从内容上是福州市空间地理基础信息数据,并将在平台运行后逐步扩大其覆盖面;从表现形式上是存储在于平台数据中心及其他多个行业部门数据中心的分布式数据库环境中。数据的完整性、实用性、精确性、动态更新能力等从根本上决定了平台的价值。根据不同的数据类型特点以及应用的需要,建立实用有效的数据采集、加工及处理流程与规范,通过对原始数据的加工整合,将解决数据“如何制作”的问题。
⒍管理维护层
管理维护层包括对平台数据的管理和应用及服务的管理,和上面五个层有着密切的联系,是整个平台正常运维的保证;有数据入库、更新维护、服务管理、运行监控、用户及权限管理等应用。对于社区公众的权限管理将分为三个级别,即功能权限控制(能使用哪些功能)、图层权限控制(能访问哪些图层)及区域范围权限控制(能访问什么范围),系统管理员可以根据社区公众角色进行授权,控制其对共享平台的访问。
三、公众空间信息共享服务平台的安全保障体系设计
福州市公众空间信息共享服务平台安全保障体系就是要在中国福州门户网站(政务外网)和互联网环境下,以公众服务平台的安全需求和安全策略为依据,建立以系统可用性、完整性、机密性为目标的信息安全保障体系。建立服务平台安全保障体系是一项系统工程,它从安全策略、安全技术保障、安全组织、安全管理以及四个方面来系统考虑平台建设的安全保障。
⒈安全策略
安全策略主要从整体上提供全局性指导,为具体的安全措施和规定提供一个全局性的框架。公众空间信息共享服务平台是依托中国福州门户网站(政务外网)为互联网公众提供信息服务。根据电子政务系统业务特点和安全要求,按“分域防护、分级保护”的原则,要划分不同的安全域和业务保护安全等级,制定与之适应的安全防护措施和安全机制,通过集成相关的安全产品和安全服务,从物理安全、网络安全、系统安全、应用安全、安全管理等五个方面,构造多层防御的安全保障体系,以确保平台安全、高效、可靠运行。
⒉安全技术保障
⑴安全基础设施的建设
信息安全技术的设计必须满足平台建设的安全需求与安全策略。从技术保障体系结构上,是按照分层防护的原则来设计的。通常,把物理安全、网络安全和系统安全等安全措施统称为安全基础设施。安全基础设施的建设主要包括:安全管理维护系统、设备安全管理、边界访问控制系统、监控和检测系统、防病毒系统、主机加固和保护、容灾备份系统、远程安全接入(VPN)系统等。
安全网管和应用监控系统:实现对公众空间信息共享服务平台应用统一监控和预警,实现故障、事件统一管理。边界访问控制系统:根据各安全域具体的安全防护策略,实现各安全域的边界保护。在政务信息交换中心,政务外网和互联网直接使用防火墙设备,在政务外网和内网之间部署网闸设备。
监控检测系统:重点在于检测和修补安全漏洞,入侵行为。该系统包括脆弱性评估、入侵检测、web服务器防篡改等机制。
防病毒系统:防范病毒入侵和传播。
容灾备份系统:在服务平台信息中心对数据进行容灾和备份。
接入网VPN:在网络接入边界提供VPN接入服务。
⑵应用安全的建设
应用安全的建设是公众空间信息共享服务平台安全保障体系的重点建设内容,在建设过程中,必须考虑以下几个方面:
统一身份认证:通过跟福州市政务网建立统一接口,利用政务网已经建成的基于LDAP的统一身份认证系统、政务PKI/CA系统为共享服务平台提供统一的身份认证服务。
授权管理系统:提供授权管理服务,对服务访问用户、数据管理用户、空间信息资源共享平台用户及其权限进行统一管理。
数据安全:实现对机密文件进行加密、用访问控制列表限制数据的访问。建立关键数据的备份和恢复措施。
可信时间戳服务:公众空间信息共享服务平台上的应用都具有很强的时序性,可信时间戳服务将成为建立有效服务和监督机制的基石。
安全审计:安全审计对于应用系统安全事故的分析和取证具有重要的作用,已经成为信息系统安全的重要环节。⒊安全组织保障体系
电子政务信息安全的运作需要强有力的组织体系保障,使得有关信息安全管理和实施的政令通畅。通常,电子政务安全组织保障体系包括三个层次,即决策层、管理层和执行层。福州市政务信息中心负责制定全市公众空间信息共享服务平台建设规划、政策法规,负责平台的建设与管理工作。为了加强安全组织保障体系,必须进一步明确岗位安全职责,明确决策层、管理层和执行层三者的责任和权利,把安全措施落实到具体的岗位。
⒋安全管理流程控制
信息系统安全需要通过一系列科学规范的安全管理流程组织实施,安全管理流程明确了安全职责的划分,合理的人员角色定义,可以很大程度上降低安全隐患。因此,公众空间信息共享服务平台的建设、运行、维护、管理都要严格按制度执行,明确责任义务,规范操作,加强人员、设备的管理。
安全管理制度要通过安全管理流程来系统化实施,共享服务平台在建立自己的信息安全体系时,其安全管理流程应遵循著名的Plan―Do―Check―Action(PDCA),即“计划―实施―检查―措施”四个循环周期来实施。PDCA过程模式可简单描述如下:
计划:依照整个方针和目标,建立与控制风险、提高信息安全有关的安全方针、目标、指标、过程和程序。
实施:实施和运作方针(过程和程序)。
检查:依据方针、目标和实际经验测量,评估过程业绩,并向决策者报告结果。
措施:采取纠正和预防措施进一步提高过程业绩。
四个步骤成为一个闭环,通过这个环的不断运转,使信息安全管理体系得到持续改进,使信息安全绩效螺旋上升。
作者简介:
信息安全方针和策略范文第5篇
由于审计职业的特殊性,审计人员往往经常出差到异地工作,笔记本电脑已经成为审计人员随身携带的必备工具;笔记本数据的安全又成为审计人员实现计算机数据安全的关键。笔者从“硬件”、“软件”以及“制度”三方面谈谈如何实现计算机数据的安全。笔记本电脑,应从整体上制订集体的安全方案,至于个人应根据自身的情况加以区别,但都应包括防盗、防止系统崩溃、防止黑客攻击和病毒感染以及数据备份,认证加密等。
一、“软”环境应放在安全意识的首位
从软件以及相关配置方面,是电脑操作者最关注的事,也是与其最密切相关的。审计人员的笔记本电脑应设置BIOS开机密码、硬盘密码,并且使用加密软件对重要数据进行加密保护外,还要安装防病毒和防火墙软件,或者将机密数据保存在移动硬盘、U盘或者刻录到光盘等存储介质上加以备份,以防不测。具体应注意以下几方面:
(一)从开机开始,检查笔记本电脑的安全保护性能是否完备。这其中又应设置开机密码,且开机密码应经常更换和无规律可循。
(二)如有可能要设置硬盘锁定密码,确保笔记本电脑被盗后其中所存储的重要数据不会落入他人之手。大多数笔记本电脑采用密码机制对数据提供基本的保护措施,所以,最简单的措施是设置开机密码。但只设置开机密码还不能保证数据的安全性,因为窃密人可以将硬盘拆卸下来拿到另外一台计算机上读取原始数据,所以还要设置硬盘锁定密码,这样,该笔记本电脑在每次启动时都必须使用密码对硬盘解密,这样一来即使窃密人将硬盘拔插到另一台计算机上也很难读取原始数据。
(三)笔记本电脑所使用的操作系统应具有较好的稳定性,同时应使用具有安全防护性能的操作系统,最好在笔记本上安装WINDOWS2000作为操作系统平台,并将分区设置为NTFS格式,然后设置登录密码,并确保在不使用时处于登录前状态,以防止他人乘机窃取笔记本电脑上的机密信息。
(四)对笔记本电脑中所存储的重要文件采用加密存放的方式进行保护。由于盗窃者攻击破坏手段的不断发展,仅仅依靠密码并不足以阻止经验丰富的窃密人擦除系统配置信息(包括密码在内),而后侵入系统,进而获取其中存放的机密信息。所以,要切实保护笔记本电脑中存储的机密数据的安全,最好使用磁盘加密程序,如ISS LIMITED公司出品的IPROTECT,至少对于最重要的数据要采取以上保护措施(当然也不要对所有对象都加密,这样会降低计算机性能)。
(五)时常进行数据备份,以防在万一丢失笔记本电脑的情况下减小损失。为预防意外,应对笔记本电脑上的数据存有备份,这样即使笔记本电脑丢失,仍能保证信息不至于丢失,将损失降至最低。
(六)使用数据恢复软件,减少误删除所带来的影响,建议使用FINAL DATA2.0以上版本。同时对于重要数据要作到彻底的删除,市场上相关软件也较多,另外新版的杀毒软件有许多也拥有上述功能,可以加以发掘使用。
二、硬件方面是实现数据安全的捷径
如果可能,可以考虑通过购买相关的硬件提高审计人员笔记本电脑整体的安全性,防盗和防泄密。其中电脑防盗锁简单实用,成为首选。电脑防盗锁是专门为保护电脑而设计的。通常笔记本电脑身上都会有一个被称为“SECURITY SLOT(安全接口)”的椭圆形防盗锁孔,旁边有一个锁形标志,这是KENSINGTON公司的专利标志,现在已经成为电脑业界的标准,目前市场上主流的笔记本产品、PDA、投影仪等都有这种防盗锁孔。我们常用的笔记本电脑用的防盗锁孔有线缆锁和扣式锁两种。线缆相对比较便宜且耐用,扣式锁功能较多但价格较高。
如果审计人员经常在人多的场所使用笔记本电脑,存在向外泄密的可能性,会对计算机数据的安全带来一定的威胁,可以选配防泄密滤镜。他是一块暗色的塑料屏幕,将他用胶带粘在液晶屏后就只有笔记本正前方的人才能看见屏幕上的内容,而旁边的人只看见黑屏,从而防止了信息泄密。对于高级用户,除了上述措施外,建议选购带有安全解决方案、IC智能卡、指纹识别系统等产品。
当然,移动办公的安全防护是一个系统工程,也是一个体系,不但包含信息在存储过程中的安全保护,还包括信息在传输流转过程中的安全防护问题,单是针对移动办公中的笔记本电脑的信息安全问题,也有很多方面还需要进一步引起重视。
三、安全意思必须通过制度和相应的规则上加以规范
信息安全在于保证信息的保密性、完整性、可用性三种属性不被破坏。目前,我国的信息安全管理主要依靠传统的管理方式与技术手段来实现,传统的管理模式缺乏现代的系统管理思想,用于管理现代信息往往不适用,而技术手段又有局限性。保护信息安全,国际公认最有效的方式是采用系统的方式(管理+技术),即确定信息安全管理方针和范围,在风险分析的基础上选择适宜的控制目标与方式来进行控制。我们在制订部门信息安全制度或规则时,具体可以考虑具体研究BS7799。BS7799是英国标准协会(BRITISH STANDARDS INSTITUTION,简称BSI)制订的信息安全管理体系标准,它还包括两部门,其第一部分《信息安全管理实施规则》于2000年底已经被国际标准化组织(ISO)纳入世界标准,编号为ISO/IEC17799。
BS7799广泛地涵盖了所有的信息安全议题,如安全方针的制定、责任的归属、风险的评估、定义与强化安全参数及访问控制,甚至包含防病毒的相关策略等,其中对于信息安全,特别是计算机数据安全有明确的规定。BS7799已经成为国际公认的信息安全实施标准,适用于各种产业与组织。
