时间:2023-10-11 10:17:36
导语:在信息系统安全运维服务的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】外汇 信息安全 风险 保障措施
近年来,国家外汇管理局加大了信息化建设步伐,信息系统已基本替代了手工操作用于处理外汇管理日常工作,在外汇监管与服务的过程中发挥着越来越重要的作用,外汇业务信息系统的安全正常运行已成为外汇局开展业务开展的前提,任何一个环节的信息系安全管理缺失,都可能给外汇管理工作带来严重的后果。
一、外汇信息系统和数据所面临的风险
信息安全就是保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的保密性、完整性、可用性.可控性和平可否认性。
外汇管理信息系统和数据在采集、保存和使用等过程中存在诸多安全风险,例如硬盘损坏等物理环境风险,操作系统和网络协议漏洞导致外汇信息数据被非法访问、修改或恶意删除,最终导致外汇信息丧失上述安全特性,从而影响了外汇业务的正常开展。本节仅结合外汇信息系统和数据实际情况,简要介绍外汇信息常见的风险。
(一)电子设备存在软件和硬件故障风险
外汇信息系统在运行过程往往会面临硬件设备发生故障,软件系统出现运行错误的风险,例如服务器电源设备老化、硬盘出现坏道无法读写、软件崩溃、通讯网络故障等问题。上述问题是外汇信息系统实际运维过程中最为常见风险源。
(二)人为操作风险
因人为操作外汇信息系统产生的未授权的数据访问和数据修改、信息错误或虚假信息输入、授权的终端用户滥用、不完整处理等。产生该类风险的原因是用户安全意识淡薄,未授权访问数据造成外汇信息泄漏,数据手工处理导致的错误或虚假信息,未授权用户操作等行为都会造成信息系统安全性风险。实际外汇信息系统运行中,人为事件造成损失的概率远远大于其他威胁造成损失的。
(三)系统风险
一般所用的计算机操作系统以及大量的应用软件在组织业务交流的过程中使用,来自这些系统和应用软件的问题和缺陷会对一系列系统造成影响,特别是在多个应用系统互联时,影响会涉及整个组织的多个系统。例如,部分系统具有维护困难、结构不完善、缺乏文档和设计有漏洞等多个隐患,有时就会在系统升级和安装补丁的时候引入较高的风险。
(四)物理环境风险
由于组织缺乏对组织场所的安全保卫,或者缺乏防水、防火、防雷等防护措施,在面临自然灾难时,可能会造成极大的损失。
二、外汇信息安全基本准则和特性
外汇信息系统是一个以保障外汇业务系统正常运行的专用的信息系统,近年来在不断加大信息科技方面投入、加快信息化建设的过程中得到了有效整合和完善。为有效应对外汇信息系统安全风险,科技部门应同步提升科技管理制度的完整性和执行力度、管理精细化程度。制定外汇信息系统安全的具体保障措施之前,首先需要我们认清信息安全的基本准则和一些特性:
(一)信息安全短板效应
对信息系统安全所涉及的领域进行安全保护即全面构筑外汇管理信息安全保障工作,重点加强对安全洼地、薄弱环节的安全防护。
(二)信息安全系统化
信息系统安全其实是一项系统工程,要从管理、技术、工程等层面总体考量,全面保障外汇管理局信息系统安全。
(三)信息安全动态化
信息安全保障措施所防范的对象是一个动态变化的过程,所以信息系统也应该随着内外部安全形势的变化不断改进。
(四)信息安全常态化
信息安全从时间角度看是一个长期存在的问题,只有在信息安全技术方面严格把握重点,综合信息安全体系的可持续构建,才能保障外汇管理局信息系统安全。
(五)系统操作权责明确
信息系统安全的前提是要严格内部授权,划分各岗位职责,如加大内控风险防范和控制。使各系统角色操作者权限形成相互制约的控制机制。
三、外汇信息安全保障应对措施
外汇信息安全工作应以信息系统所面临的安全威胁依据,遵循基本准则,以信息基础设施建设和安全管理制度为我切入点制定相应的防护措施。
(一)建立系统性的安全管理制度
安全管理制度要包括人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、事后审查等方面内容
(二)建立良好的网络信息安全防护体系
从物理环境安全、网络边界安全、设备安全、应用系统安全以及数据安全等方面部署相关的安全防护设备和措施。
(三)定期进行信息安全教育培训
因信息技术行业快速发展,信息安全形势也在不断变化,外汇管理局科技部门可定期对辖内外汇信息系统维护和操作人员进行信息系统安全培训,更新安全知识。为了有效防范未知威胁和隐患,外汇管理局科技部门可对辖内定期开展信息系统安全检查,确保外汇信息系统安全有效运行,保障外汇信息的可控、可用和完整性。
(四)开展信息系统安全风险评估,进一步做好系统等保工作
首先对外汇信息系统安全进行风险评估,根据评估识别威胁外汇信息系统安全的风险,作为制定、实施安全策略、措施的基础,风险评估同时也是外汇信息系统安全等级保护的重要前提与依据。其次确定信息系统安全级别,根据级别的不同,实施对应的保护措施,启动对应级别的安全事件应急响应程序。
(五)运用入侵检测等技术,预防恶意攻击
随着技术发展,当前恶意攻击手段呈现越来越隐蔽的趋势,需要科技部门采用具有预警功能的技术手段来应对,如入侵检测、数据挖掘等技术,通过分析历史数据,发现当前安全措施的缺陷,及时纠正和预防内外部风险再次发生。
(六)完善监督管理,实施信息安全自查与检查相结合
查找现有信息化建设工作中的薄弱环节,井切实进行整改,建立良性的信息安全管理机制。开展信息安全检查与自查是完善信息安全监督管理工作的有效方式之一,其中信息安全检查方案的设计是安全检查的核心,科技部门需要根据外汇业务实际情况,将外汇管理局有关要求进行梳理完善,对相应风险点进行总结和归纳,科学设计了信息安全检查方案。
参考文献
[1]林国恩.信息系统安全[M].北京:电子工业出版社.2010
民航是我国的基础行业之一,对我国经济发展有着重大而深远的影响,尤其是现在航空公司的基本业务都已经实现电子化,信息系统安全本身的稳定、可靠成为整个航空公司业务开展的基础。
万事俱备,只欠东风
某航空公司作为全球最大航空联盟――星空联盟成员之一,是民航业一家非常有代表性的公司。在信息化建设上,该航空公司信息系统规模非常庞大,信息化工作人员就达到100多人,包括基础IT设施保障人员、系统开发与维护人员、网络运维管理人员等。相对信息系统安全保障而言,该航空公司目前还缺少专职专岗的安全运维人员。
面对未来世博会上大量客流及信息系统数据处理需求,该航空公司领导决定尽早提升系统的信息安全保障力度,提升整体团队信息安全技术能力。
作为国家基础性行业,民航业必须要遵从国家颁布的等级保护政策,所以,该航空公司领导非常注重信息安全等级保护体系的建设,并且面向社会进行信息安全服务供应商招标。东软安全服务部部长席斐对记者说:“该航空公司信息系统基础建设很好,技术人员团队素质高,可以说万事俱备,而独缺专业安全体系这一块的行业规划。东软NetEye凭借13年专业的安全技术积淀,全面、完善的实施方案赢得了为此用户提供信息安全体系建设咨询和评估服务的机会。”
“三业”保障信息系统安全
在信息化建设中,东软一直注重业务系统和信息化建设的整体融合与推动,并致力于为客户提供优秀且可操作的安全解决方案。
经过对该航空公司系统业务情况以及安全现状的充分沟通和详细分析后,东软NetEye安全服务团队对其总部等几个营业点进行了全面的信息安全风险评估,特别是对互联网公开的B/S架构的电子商务业务系统和呼叫中心系统、运行准备系统、HR系统、招聘系统、货运系统等进行了详细的评估,全面了解系统安全状况,明确当前风险,并完成压力测试、渗透测试、等级保护差距分析、系统加固等。同时,在本次项目中,东软NetEye团队协助该航空公司对其原有的信息化管理规章进行了重新梳理,并制定和建立起一套信息安全专项管理手册,提高了安全制度和安全管理规范的可操作性。
在完成信息安全风险评估工作之后,东软还协助该航空公司一起制定了未来三年详尽的信息安全整体建设规划方案,为其在世博期间乃至今后的信息安全运维保障工作奠定了有力基石。
“更重要的是我们通过这一次项目为用户培养了一支具备信息安全风险评估能力的技术团队。”席斐说,“这是用户方领导对我们最为称道的一项。”
1 综合治理信息安全的战略背景
IT管理技术发展历程,从被动管理转向主动管理,从服务导向转向业务价值。在科学的IT管理方法论方面形成了一系列标准:诸如ITIL/ITSM以流程为中心的IT管理行业标准;ISO20000ITIL 的国际标准; COBIT面向IT审计的IT管理标准;COSO企业内部控制框架,面向内部控制;ISO17799:信息安全管理国际标准。当前有很多非常好的综合性标准与规范可以参考,其中非常有名的就是ISO/IEC27000系列标准。ISO/IEC 27001通过PDCA过程,指导企业如何建立可持续改进的体系。
目前企业IT运维管理现状。需求变化:IT本身快速变更;管理目标多角度变换并存。资源不足:IT 复杂性成长快于人员成长;IT 人员持续流动。业务影响:难以判断事件对业务的影响和处理事件的优先级。信息孤岛:IT 资源多样性的,不能进行事件的关联分析,缺少统一的健康视图。IT网络与信息系统运维存在监测盲点,缺少主动预警和事件分析机制。
如何把此项复杂的工程进行细化与落地,建立信息安全保障框架?在企业有限的IT资源(包括人员、系统等)等的前提下,IT运营面临严峻的挑战,企业多半缺乏信息系统应用开发能力,在很大程度上依赖于产品开发商的支持,为此,要想实现从混乱到清晰、从被动到主动、从应付到实现价值取向的服务思想,自主加外包的混合运维方式无疑是一种好的服务方式。
2 建立和实施信息安全保障体系思路和方法
针对IT管理问题和价值取向的服务方式,借鉴PDCA工作循环原理和标准化体系建设方法,从建立安全目标和组织体系、制度体系和技术体系等三个主要层面构建实施信息安全保障体系,以规范引导人、以标准流程引导人,以业绩激励人,从而促被动变主动,坚持持续改善,促进工作效率,促进安全保障。
2.1 建立和推行目标管理
体系建设应以目标管理为先导、循序渐进,按顶层布局、中层发力、底层推动内容设计与构建,为此,借鉴当前IT运维管理目标演进方式,确立各阶段建设目标。
基础架构建设阶段(SMB),手工维护阶段。主要实现IT基础架构建设。
网络和系统监控(NSM)阶段,重视自动化监控阶段。主要实现IT设备维护和管理。
IT服务管理(ITSM)阶段,重视流程管理阶段。主要实现IT服务流程管理。
业务服务管理(BSM)阶段,重视用户服务质量与满意度。主要实现IT与业务融合管理。
从IT投入和业务价值来看,前三个阶段是间接业务价值,第四阶段才是直接业务价值。
根据ITIL这个IT服务管理的方法论,先是搭建一个框架,借用工具的配合促进落地。如图1、IT运维管理系统参考模型。
从安全目标出发,结合IT运维管理系统参考模型,每个阶段的工作向着实现直接业务价值,不断消除或减轻对性能的约束,促进IT产品或服务满足确定的规范,实现企业效益最大化。服务好用属性通过最终的绩效和检验结果监视测量价值成分。如图2。
2.2 规划融合信息安全保障体系
通过从组织体系、制度体系、技术体系层面建立和实施纵深防御体系,实现稳健的信息安全保障状态。
①组织体系:通过企业中高层的支持实现业务驱动和共同推动信息安全体系建设。当然,需要提出的问题,组织有可能要依赖长期可靠的合作伙伴:通过长期可靠的合作关系,快速引进外部专业资源和先进技术,可以帮助企业推动信息安全建设工作。为了帮助组织内外信息系统人员更好地遵守行业规范及法律要求,企业实施IT网络与信息系统安全运维体系标准,组织应做到定期对全体员工进行信息安全相关教育,包括:技能、职责和意识,通过相关审核,证明组织具备实施体系的意识和能力。
②制度体系:企业IT网络与信息系统安全运维系统建设的范围包括机房安全、数据安全、网络安全、服务器安全、业务应用安全、终端安全等。为此,企业应明确内部运维和外部协同的内容及其标准规范,包括绩效标准。建立实施IT网络与信息系统安全运维体系标准,首先把高效的信息安全做法固化下来形成规则制度或标准,成为组织中信息安全行为准则。保证事前预防、事中监控和事后审计等安全措施的得到有效执行与落实。
③技术体系:一般来说,网络设备技术体系可以按照从上到下信息所流经的设备来部署工具。即从数据安全、终端安全、应用安全、操作系统与数据库安全、网络安全、物理安全六个方面来选择不同的安全工具。按照“适度防御”原则,综合采用各种安全工具进行组合,形成企业“适用的”安全技术防线。适时根据风险评估的结果,采取相应措施,降低风险。
其中,需要采用1~2种综合管理的工具来帮助把所有的安全监控工具进行统一管控。例如SOC是给企业日常维护管理者使用,ITRM作为综合风险呈现,是给企业风险或安全管理层使用。
④体系运行和监控:体系的日常运行和监控就是从信息的生命周期进行流程控制,即在信息的创建、使用、存储、传递、更改、销毁等各个阶段进行安全控制。之前不能忽视在信息创建开发安全阶段的一个细化控制手段。在运行体系建设中,往往需要结合流程分析来关注信息的生命周期安全。运行过程中还有一个应急管理,包括灾备中心建设、业务连续性计划、应急响应等等都有相应的标准与理论支持。特别是BS25999标准的颁布,给如何建立一套完善的应急体系提供了参考。
3 企业建立和实施信息安全保障体系实践
面对网络系统互连,网络技术与设备的安全管理规范的完善这个复杂而且浩大的工程,井冈山卷烟厂不仅依靠个体分散的技术措施或者管理防护,而且结合国家、社会和个人的力量构建综合保障体系。
①依据ISO9000、ISO14000和OHSAS18000标准,国家计算机网络和信息安全相关法律法规,参考当前科学的IT管理方法论方面形成了一系列标准,结合YC/T384烟草企业安全生产标准等,识别这些与信息安全相关的法律法规及其它要求,将信息安全保障体系(框架)融合到企业质量、环境和职业健康安全(以下简称为三标)综合管理体系。
②确定信息安全管理目标并分步实施企业三年信息化发展规划。自2012年开始,企业对照YC/T384烟草企业安全生产标准要求,在梳理和评价2000年以来企业多个企业信息化三年实施规划实践环境以后,制订了新的三年信息安全管理目标和建设规划,将目标和规划分解到各年度实施,并纳入到企业年度三标综合管理体系建设目标和管理绩效考核。
③建立信息安全管理组织和工作标准,同时纳入三标综合管理体系管理考核。从体系结构上促成企业作业层、管理层(中间层)和决策层的信息化,实现企业的物资(服务)流、资金流和信息流的一体化,及时、准确和完整地传递企业的经营数据,保证企业的经营管理。利用信息化改进管理,形成企业信息安全文化,促进员工接受、理解和主动配合,不断提升全员的信息安全意识和技能,从而使信息安全管理真正落到实处。
④建立和实施信息安全保障体系文件标准。根据国家信息安全相关的法律法规及其它要求,结合行业和企业的特点和发展趋势,规范管理流程和模式。网络与信息系统建设“立足长远、分步实施、突出重点”,做到“统一规划、统一标准、统一平台、统一编码”,同步实施信息系统等级保护制度,促进企业与信息系统项目合作单位、地方通讯和公安等部门的社会化合作主要方式。企业内部各项工作实现规范化、信息化,做到一切工作都按照程序办,同时,事事处于相互制衡的环境之下、人人处于监督管理之中,从而形成职责明确、运转协调、相互制衡的工作机制,为企业内部信息安全监管提供强有力的保障。
几年来,企业坚持企业信息安全方针目标,以迅速响应服务为宗旨。企业信息安全保障体系建设紧紧围绕建立科学、规范、和谐、统一、开放的管理体系,全面融入了质量、安全和环境管理体系一体化建设和实践,截止到2015年底,企业共梳理建立或整合并实施安全保障类文件包括企业管理标准、技术标准和工作标准共计31个标准文件。通过创新与改善和体系审核、管理评审和提高文件执行率及持续改进方式保持了信息安全保障管理体系的持续改进和有效运行。
如今,伴随着科学技术的迅猛发展,我国电力企业各个方面的工作,也得到了大幅度的进步。电力信息安全保障体系,是电力发展事业各组成部分中的重要环节,在维持电力企业的正常运行、日常管理和营销管理等方面,起着至关重要的作用。因此,电力信息的安全问题,一直是电力企业所关注的重要内容之一,各个企业对于电力信息也逐渐重视起来。以下是笔者结合当前电力信息安全保障体系建设的实际情况,就在电力企业中,电力信息系统的安全领域出现的问题,进行有效详细的研究与分析,希望通过此次研究,能够对电力信息安全保障体系的建设领域的发展,起到一定的促进作用,为我国电力工作的发展,献计献策。
【关键词】
电力信息;安全保障;体系建设;探讨研究
所谓的电力信息系统,主要的内容包括信息网络、应用系统、网络服务系统、存储与备份系统、安全系统、辅助系统等。除此以外,上述系统的附属设备也在电力信息系统的行列内。本系统所涉及的技术,大致有数据加密技术、防火墙、入侵检测技术、网络扫描技术,以及访问控制技术等。虽然安全架构在设计上出现问题与管理方面出现问题,是引发信息系统安全问题的主要因素,但还是有其他因素存在。因此,在电力信息系统安全保障体系的建设,要考虑电网运行安全方面以外,还要经过信息安全系统的的建设、信息安全管理的建设和信息安全策略的建设三个阶段。
一、电力信息安全保障体系存在的问题
随着科学技术的不断发展,计算机技术也在不断进步,黑客是摆在我们面前不可忽视的问题。因此电力系统在正常运行的情况下,就很容易受到黑客的攻击,造成病毒的侵入,所以对电力信息的安全保障体系的建设予以加强,变得迫在眉睫。现如今,电力信息安全存在的主要问题,大致包括信息安全意识薄弱、信息安全运作机制不完善、信息安全保障工作没有常态化、系统安全设计不足,以及短板现象显著等。在大多数电力企业中,信息安全问题常常被忽视,有的甚至处于不防御状态。信息安全运作机制不完善,在不完善的业务连续性计划,不规范的信息文档和测试数据的管理中,有所体现。那么,怎么样去应对这些问题呢?使这些问题能够迎刃而解呢?主要从信息安全管理和信息安全技术两方面入手。其中,信息安全评估、建立安全管理组织、信息安全运行管理、安全策略规划和安全监督审计等,均属于信息安全管理范畴。而信息安全技术大致包括通用信息安全技术手段,也就是安全服务,比如访问管理、防恶意代码、身份认证和审核跟踪等等。
二、电力信息安全保障体系的策略与管理
结合当前形势与公司实际,要不断进行管理的创新与技术的实践。从管理层面讲,要对组织机构、系统运行维护、规章制度、相关工作人员教育等进行全面控制和管理;而从技术的层面出发,做到防护物理、主机系统、网络、数据应用等等各方面的安全性,同时在安全可靠前提下,建设一套高效、先进、实用的信息安全保障体系,支撑助力生产专业化与管理现代化,保障电力信息的安全性。制定电力信息安全策略,应该保证在国家信息安全等级保护政策的前提下进行,本着提升电力企业整体防篡改、防泄密、防攻击等综合能力的原则,进行策略的制定。电力信息安全的运行,在保证对基础环境、主营业务系统、软硬件平台等等运行维护的同时,还要确保运维技术规范、运维流程和定检等标准或机制的建立。另外,访问控制和身份认证,可以将主机系统、安全设备、应用系统,网络设备等的身份认证,进行统一管理。审计和监控,也可提高信息的安全性,对问题发生时的反应速度,也能够得以提升,对安全问题的发生,起到了有效的预防。在电力管理信息大区网络内部,还应建立能够对病毒进行预防、隔离、检测和清除的机制。这样,可以大大降低未知病毒的入侵率。
三、结论
总而言之,加强电力信息安全保障体系的建设,是新时期电力工作者热衷研究的一大科题,更是今后的工作方向。在电力信息系统安全保障体系建设的过程中,我们必须要以“坚持实事求是、以人为本”的方针为原则,系统性的分析影响电力信息系统运行安全与管理的因素,结合如今电力信息系统安全保障的实际情况,以最佳的建设原则与思路,对电力信息系统安全保障体系进行完善,为电力企业的健康长远发展做出突出的贡献。
作者:唐勇 单位:国网四川省电力公司电力科学研究院
参考文献
[1]李志茹,张华峰,党倩.电网企业信息系统安全防护措施的研究与探讨[J].电力信息化.2012(04)。
[2]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊).2010(05)。
[3]张建华,王昕伟,蒋程,于雷,俞悦,余加喜.基于蒙特卡罗方法的风电场有功出力的概率性评估[J].电力系统保护与控制.2014(03)。
[4]丁冬,刘宗歧,杨水丽,吴小刚,李婷婷.基于模糊控制的电池储能系统辅助AGC调频方法[J].电力系统保护与控制.2015(08)。
进入21世纪,信息化高速发展,随着医疗体制改革的逐步普及和深化,医疗卫生信息化正在步入一个信息化全覆盖、信息化无所不在的时代。
信息化全覆盖,意味着信息化遍布医院各个部门和科室,信息化无所不在,意味着信息化贯穿医院各个环节和流程。也即,医院信息部门的责任无边界;信息人员的任务无限延伸。目前的现实是:信息系统已经成为医院的“神经系统”,系统越来越复杂,范围越来越大,待解难题层出不穷,各种需求永无止境,信息人员实际工作越来越多,每天疲于奔命,而不满之声却此起彼伏,不绝于耳。
如何突破这种困境?这是医院信息主管必须思考的一个问题,也是医院管理者面对的难题。医院信息主管(CIO)集管理、技术和服务等于一身,是医院信息工作的直接责任者,必须从自身做起,面对挑战,转变观念,创新管理思路,实现360°服务,将是突破困境的途径之一。下面从四个方面谈谈四个360°。
1 具备360°视野
医院越大,信息系统越复杂,涉及面广,面对的服务对象多,工作内容复杂,需求多样化,信息主管首先要具备360?°视野。只有视野开阔了,才能统筹兼顾,管理到位,服务全面。
1.1 360°关注医院外部视野:指医院外部相关政府管理部门、社会各方及患者等对医院的管理、监督和要求。如图1所示。
面对如此众多的服务对象,每一个对象对信息化都有特殊要求,信息化必须具备全方位外联服务功能,例如:患者预约挂号的需求,医保数据上传下载功能,卫生统计信息平台直报功能,药监网药品申报和管理,以及网上视频会议、网上继续教育和远程医疗等。外部视野要求:完善信息化硬件基础设施建设,构建软件系统平台,顿悉各方需求,全方位提供服务。
1.2 360°统观医院内部视野:指在信息化全覆盖前提下,满足医院内各个部门、各项工作对信息化的要求。如图2所示。 信息化不仅要满足医疗需求,还要实现管理、后勤、财务、医保、科研、教学等诸多功能,同时要有辅助决策功能。
2 实现360°服务
具备了360°视野,在把控全局,了解全部的基础上,不断提升管理能力,优化服务措施,力争实现360°服务。图3是一个医院日常工作与服务对象的关系示意图,它体现了管理与服务对象的密不可分。
具体要求如下:1)洞悉需求:对客户化需求进行合理化分析,合理的予以修正,不合理的给予原因解释;主动了解使用者的需求,耐心听取各方意见,主动征求客户化修改意见。2)流程优化:通过对医疗流程的深入了解和分析,不断改进,通过软件修正和行政干预,使流程尽量优化。3)简便操作:基于医疗最终服务于患者的宗旨,医院信息系统应该操作简便,桌面操作应当人性化、简捷化、便利化,不能使医务人员的操作成为负担。4)界面友好:一个合格的医院信息系统应该界面友好,既符合使用者的使用习惯,又符合医疗流程;既简单明了,又全面合理,友好的界面可以减轻使用者视觉疲劳。
3 实施360°管理
内部管理是保障医院信息系统安全、稳定、有效运行的前提和基础。一个庞大的系统,如果没有严格规范的管理,就不会有安全稳定的运行,也难以避免重大灾难事故的发生。作为一所大型医院,重大网络故障造成的损失和影响无法估量,将会造成整个业务的瘫痪。而实施360°管理的前提是理顺信息部门的管理体制和机制,明确管理框架和职责。360°管理内部结构组成大致包括人员分工管理、设备采购管理、网络运维管理、硬件运维管理、软件管理、业务流程管理、安全管理和应急管理部分,如图4所示。
内部360°管理基本要求如下:
1)完善制度:建立健全一整套规范、科学、完善的内部管理规章制度,并不断改进;2)安全管理:加强安全管理是一切工作的前提和保障;3)应急预案:制订一套全面的应急管理措施,并定期演练;4)加强沟通:加强部门与部门、医院与HIS开发商、医院与设备供应商的沟通和协调;5)博采众长:广泛联络,汲取兄弟单位及各家之所长,取长补短;6)团结协作:应加强医院内部团结协作,不推委,不扯皮,宗旨是把工作做得更好,更好地为患者服务;7)集思广益:营造良好工作氛围,鼓励建言献策,发挥集体的智慧,采纳合理建议,提升工作质量;8)队伍建设:通过吸引优秀人才,建立人员培养机制,不断进行知识更新,拥有一支有战斗力的技术队伍。
4 加强360°管控
信息部门不仅是信息技术的掌握者、服务的提供者和信息化进程的推动者,还应成为信息系统安全、稳定、持续运行的看护者和保护神。
关键词:分布式;信息安全;规划;方案
中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03
An Information Security Program for a Distributed Enterprise
GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang
(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)
Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.
Key words: distributed; information security; planning; program
1 引言
据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。
本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。
2 总体规划原则和目标
2.1 总体规划原则
对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。
这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。
2.2 总体规划目标
信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。
3 信息安全组织规划
3.1 组织规划目标
组织建设是信息安全建设的基本保证,信息安全组织的目标是:
1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;
2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;
3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。
3.2 组织规划实施
对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。
4 信息安全管理规划
4.1 管理规划目标
信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。
4.2 信息安全管理设计
基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。
4.2.1 信息安全等级划分指标
信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。
4.2.2 信息安全策略
信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。
4.2.3 信息安全制度
信息安全制度是指为信息资产的安全而制定的行为约束规则。
4.2.4 信息安全规范
信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。
4.2.5 信息安全管理流程
信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。
4.2.6 信息安全绩效考核指标
信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。
4.2.7 信息安全监管机制
信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。
4.2.8 信息安全教育培训体系
其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。
5 信息安全技术规划
5.1 技术规划目标
信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:
1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);
2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。
5.2 信息安全运维中心(SOC)
SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:
1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;
2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。
图1 信息安全软措施关系
图2 信息安全总体框架
图3 资产、组织、管理和安全措施的关系
5.3 信息安全综合测试环境
随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。
其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。
5.4 安全平台建设规划
参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。
主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。
在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。
6 信息安全服务业务规划
6.1 服务业务规划目标
信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:
1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。
6.2 服务业务规划设计
服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:
1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。
2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。
3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。
4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。
5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。
7 结束语
通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。
参考文献:
[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.
[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.
[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.
[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.
[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].
[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].
[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].
[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.
随着商业银行业务的快速发展,信息系统在促进商业银行提高工作效率、提升服务水平、拓展业务范围等方面的作用越来越明显。信息系统在带来便利的同时,也带来了一定的风险。信息系统安全问题日渐成为商业银行内、外部监管的重点。研发风险是在信息系统研发阶段可能引入的,导致信息系统出现安全性问题的风险。研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,旨在保障和提高新研发信息系统的安全性。
研发风险管理工作特点
商业银行信息系统所承载的业务服务和数据都很重要,一旦受到破坏将对商业银行及其客户的利益造成严重损害。因此商业银行对信息系统的安全性、稳定性要求很高。但随着业务的快速发展,商业银行信息系统的种类和数量也在快速增加。这些信息系统需要采用不同的语言、平台和架构来实现,其关联关系和技术复杂度越来越高。同时,随着IT技术的发展和互联网开放程度的加深,新的攻击手段不断出现,安全攻防技术不断演变,且有愈演愈烈之势。因此商业银行研发风险管理工作具有管理要求高,管理难度大的特点。
为加强对商业银行的风险管理,人民银行、银监会等监管机构了一系列指引,其中包括了信息系统研发相关的合规性要求。这些要求也是监管机构进行检查的重点,如果未能在研发阶段落实,信息系统上线后仍需进行整改,将增加不必要的成本和变更风险。因此,研发风险管理工作不但应落实信息系统的安全性要求,还应将合规性要求纳入考虑范围之内。
研发风险的分类
《巴塞尔新资本协议》已将操作风险纳入资本监管,并将信息科技风险划归操作风险范畴。研发风险属于信息科技风险的组成部分,具体细分,又可以分为管理风险和技术风险。
管理类风险是指由于未做好研发风险管理相关工作,间接对信息系统安全性造成影响的风险,主要有合规性风险、管理环节缺失、管理力度不足等。合规性风险是指未落实监管部门关于研发风险的监管要求而形成的风险,例如未落实《银监会非现场监管报表》对“项目代码安全检查完成率”、“代码安全检查方法”的要求等。
技术类风险是指因各种技术原因引入的,影响信息系统安全性的风险,主要包括安全设计问题、代码漏洞。安全设计问题是指信息系统安全设计不到位,例如用户口令复杂度不足、敏感数据未加密存储等;代码漏洞是指由于开发人员疏忽或者编程语言的局限性,导致程序存在可以被黑客利用的逻辑错误,例如SQL注入、跨站脚本、缓冲区溢出等。
我国商业银行研发风险管理工作现状
我国商业银行虽然在规模、业务特性与管理模式上存在差异,但由于同处于我国经济大环境下,其信息系统研发风险管理工作面临相似的环境和挑战。目前我国银行的系统研发模式有自主研发、合作开发、外包和外购等几种。大型国有商业银行一般以自主研发为主,大中型股份制商业银行一般采用合作开发方式为主,大多数小型和地方性金融机构则主要采用外包或外购的方式。
随着我国商业银行信息化建设的不断深入,目前大多数商业银行都加强了信息科技风险管理,建立了包括组织、制度、技术等方面的信息科技风险管理体系,涵盖了基础架构、研发、测试、运维、外包、应急等各方面。在研发风险管理方面,采用了必要的管理和技术手段,加强了系统安全设计,在一定程度上满足了业务连续性需求。但是由于起步较晚和重视程度不够,研发风险管理水平整体滞后于信息科技管理水平,因安全设计不充分所引发的安全事件或整改仍不时出现,危害着商业银行的安全。因此,我国商业银行信息系统研发风险管理水平还有待进一步提高。
存在的问题和不足
研发风险管理组织不完善、流程机制不健全。研发风险管理工作的开展需要相关的组织和角色作为支撑。目前,各商业银行的整体信息科技风险管理组织较为完善,但很少能够深入到研发风险管理环节,主要表现在缺少研发风险管理的统筹部门,缺少对研发风险管理进行决策的组织机构,项目组中缺少研发风险管理角色等方面。我国商业银行信息系统研发工作大多以项目的形式进行,普遍拥有完整的项目管理流程,但流程中涉及安全和风险的内容较少,对系统安全设计、实现的审核机制不健全,难以保证在研发阶段提高信息系统安全性。
研发风险管理依据多、信息系统安全设计不规范。当前商业银行的信息系统面临着多方面的监管要求,既有行内的,也有行外的;既有监管机构的,也有业界的;既有管理要求,也有技术要求。这些要求的来源不同,侧重点不同,粗细颗粒度不同,甚至有的相互冲突,给研发人员造成一定困扰,亟待统筹规范。现有信息系统一般都有身份鉴别、访问控制等设计,能够满足基本的安全需要。但由于缺乏整体规范指导,信息系统研发过程中难以避免安全需求不完整,安全设计水平良莠不齐,安全编码不规范等问题,导致信息系统仍然可能存在安全漏洞。
安全技术不能重复利用、安全技术支持服务不足。商业银行信息系统具有一些共性的安全设计,例如身份认证、数据加密、日志审计等。在现有模式下,各个项目组缺少沟通协调,往往自行开发,造成重复开发和资源浪费,也不利于企业安全架构整合与管理。研发出安全的信息系统,必须以相应的技术手段作为支撑,但现有商业银行研发团队往往缺少这方面的支持和服务,影响了信息系统安全研发水平。
此外, 为了应对业务的发展变化,商业银行必须不断提高信息系统研发速度。在业务需求紧急和工作量的压力下,研发团队往往会不自觉地重效率轻安全,形成了安全工作人员的数量不足,开发人员的安全意识和安全技能不足等问题。
研发风险管理目标及主要依据
研发风险管理工作是从安全和风险角度对信息系统安全设计、实施情况进行统筹管理的一项工作,主要目标是提升信息系统的安全性,避免安全事件发生,保证商业银行业务连续性。同时,也应关注信息系统合规性,避免系统上线后因各类检查发现问题而进行整改,减少不必要的变更。商业银行开展研发风险管理工作的最理想状态,是实现对所有信息系统研发风险的统筹管理和良性循环,实现外部监管要求、信息安全技术发展变化与信息系统研发之间的有效衔接,做到对最新安全要求的快速响应、准确解读、全程跟踪、有效落地。
为做好研发风险管理工作,有效提升信息系统的安全性、合规性,商业银行在信息系统研发过程中需遵从多方面的要求。这些要求一方面是对研发风险管理工作的指导和规范,另一方面也是开展研发风险管理工作的依据。从大的方面来说,我国关于商业银行信息安全、保密等方面的法律法规均属于研发风险管理依据范围,这些法律法规的层次较高,不适合指导具体工作开展。从执行角度来看,研发风险管理工作的依据主要有监管要求和信息安全标准,同时还应参考业界最佳实践。
监管要求。《巴塞尔新资本协议》将信息科技风险划归操作风险,而研发风险属于信息科技风险范畴。因此,当前我国商业银行遵从的信息科技风险监管要求,包括:《商业银行信息科技风险管理指引》、《商业银行内部控制指引》、《中国银行业信息科技“十二五”发展规划监管指导意见》等,通常涵盖研发风险管理相关内容,是开展研发风险管理工作的有力依据。人民银行、银监会等监管机构对商业银行开展的信息科技检查,以及商业银行接受的其他内外部科技审计、风险评估发现的问题,是从各个角度对现有监管要求的细化和解读,属于未来新建信息系统应规避的问题,也应纳入研发风险管理工作依据范围。
信息安全标准。信息系统安全问题是整个IT行业普遍关注的问题,经过业界多年探索和经验积累形成的信息安全标准,是商业银行开展信息系统研发风险管理工作的另一重要依据。目前国内外信息安全标准种类、数量较多,比较有代表性和有指导意义的包括:信息系统安全等级保护标准、ISO27001标准、CC标准、Cobit标准等。此外,我国国家密码管理部门、人民银行等部委针对各专业技术领域颁布的标准,例如《网上银行系统信息安全通用规范》、《银行卡联网联合安全规范》、国产加密算法标准等,可作为各专业领域信息系统研发风险管理的工作依据。
业界最佳实践。随着IT行业对信息系统安全问题的越来越重视,各大公司和机构纷纷进行了广泛而积极的探索,积累了许多最佳实践和解决方案,对商业银行信息系统研发风险管理工作具有一定的启发和借鉴意义。其中,微软的SDL方法关于全生命周期安全管理的理念,值得研发风险管理工作借鉴;OWASP的CLASP方法将安全融入现有项目开发流程的理念,与商业银行在现有条件下推动研发风险管理工作开展的需求相吻合;McGraw的TouchPoints方法在关键点切入安全管理的理念,对研发风险管理工作具有借鉴意义。
研发风险管理策略分析
构建研发风险管理体系、全生命周期防范研发风险。针对商业银行研发过程风险管理工作特点和现状,要想从根本上解决当前存在的问题,应统筹考虑,博采众长,从体系化的角度进行整体规划,构建符合商业银行自身实际情况的研发风险管理体系。在具体操作上,建议从组织、管理、技术三个方面入手。其中,组织方面应由专职部门牵头,设置项目安全员、安全专家等角色,分别履行评审、督导、执行等工作职责;管理方面做好管理制度、安全开发标准的制定维护,以及培训考核等整体推动工作;技术方面要采取多种手段,为项目组提供安全公共组件、安全技术平台、安全工具等技术支持和服务。信息系统安全问题是整个系统级的问题,包括物理、网络、系统、应用等很多方面。同时,安全问题也是一个连续不断地出现的问题,在信息系统研发生命周期的每一个阶段都有可能引入风险,无论是选择的工具、实现技术还是编码的质量。因此,研发风险防控工作应贯穿信息系统建设全生命周期,在信息系统研发过程中同步做好安全需求分析、安全设计、安全编码、安全测试、安全审核等工作,使研发风险管理活动与项目管理流程紧密结合,避免引入风险隐患。
做好关键阶段的安全审核、坚持定制化和个性化原则。商业银行信息系统种类多、数量多,从安全和合规的角度来看,每个信息系统均应落实研发风险管理要求,但商业银行的投入和能力毕竟有限,必须结合信息系统研发工作特点,准确把握工作重点。在信息系统研发生命周期中,需求分析阶段处于初始阶段,且与业务联系紧密,并为后续工作量估算、系统设计等工作奠定基础。做好需求分析阶段的安全评审,能够保证安全要求在后续工作中得到贯彻执行,具有特别的重要性。同时,在信息系统测试阶段,应对信息系统整体安全情况进行审核,以验证安全需求实现情况,及时修复发现的问题。通过一头一尾两个关键阶段的安全审核,有效保证新研发信息系统的安全性。
虽然研发风险管理工作的管理依据多,可参考标准多,但是现代商业银行发展迅速,信息科技发展也是日新月异,任何一个标准或指引均不能保证普遍适用,永不过时。商业银行在开展研发过程风险管理工作中,应准确把握和灵活运用各类工作依据和标准,坚持定制化和个性化原则,结合自身工作特点,制定符合自身实际情况的管理办法和技术标准。对于各类安全工具或服务,也应根据工作需要做出选择,并在实际工作中进行个性化改进,尤其是对安全工具的个性化配置维护,将成为研发风险管理工作的主要内容之一。
安全与效率兼顾、管理和技术相结合。商业银行的业务扩张和发展速度很快。为抢占市场先机,商业银行信息科技服务的变化速度也很快,且时效性要求很高。这就使得商业银行必须提高信息系统研发效率。研发风险管理工作属于提升信息系统安全性的强化工作,主要表现在增加信息系统的非功能性需求,增加研发工作量,因此可能会影响研发效率。商业银行在开展研发过程风险管理工作时,要紧紧围绕信息系统研发这个核心工作任务,坚持服务研发、防控风险的原则,妥善处理安全和效率之间的关系,找到安全和效率之间的最佳结合点,争取以最小的投入产生最大的安全效益。
研发风险管理工作的主要落脚点是加强信息系统研发全生命周期的风险管理,做好需求、设计、编码、测试等阶段风险管理工作,落实安全技术措施。因此,与传统的项目风险管理不同,研发风险管理不但重视风险管理,还重视安全技术设计和实现。这就要求在开展研发风险管理工作过程中,必须将管理和技术相结合,在提出研发风险管理要求的同时,必须为项目组提供安全技术支持和服务,指导和协助项目组解决技术难题,使研发风险管理要求得到切实贯彻执行。
【 关键词 】 系统;安全;策略
1 引言
近年来随着气象信息技术的发展和气象服务领域的不断扩大,气象部门新建或已建的气象信息系统所承载的业务、服务范围、安全需求经常发生变化,各种信息系统的安全问题也逐渐暴露出来,很多单位和部门针对信息安全也作了大量的工作。本文在结合辽宁省气象信息系统等级保护工作现状的基础上,通过对三级气象信息系统进行测评,对其中发现的系统安全的共性问题做一些探讨,提出了安全防护策略,对开展气象信息系统等级保护工作和提高气象信息系统安全性方面具有重要的意义。
2 气象信息系统测评
信息等级保护测评即确定信息系统的安全保护等级,发现信息系统存在的漏洞与风险,提出针对性的整改措施;根据各信息系统安全保护等级的不同,确定其不同的能力目标以及所能应对的不同级别的安全威胁。
辽宁省气象局三级气象信息系统等级保护测评工作主要针对辽宁省气象部门内部的重要信息系统,包括辽宁省气象信息综合分析处理系统(Micaps系统)、全国气象宽带网辽宁分系统、国内气象通信系统辽宁分系统。测评工作主要分测评准备、测评方案方案编制、现场测试和测评分析与报告编制四个阶段进行,内容涵盖终端设备情况调查、网络局域环境调查、业务应用服务情况调查、数据备份情况调查及相关安全人员访谈等多项内容,测评于7个工作日内完成。
2.1 测评准备
测评工作具体由辽宁省信息安全测评中心(具备等级测评资质)组织实施,在测评前,首先进行测评准备,确认了辽宁省三级气象信息系统的功能组件,技术功能组件为232个,管理功能组件为154个,提交了具体的测评方案,签订了测评合同。
2.2 现场测试
现场测试主要是对网络设备、主机设备、应用软件的安全功能/策略的验证性测试。在测试的广度上,覆盖到不同类型,在数量、范围上进行抽样;在测试的深度上,进行了系统功能测试,主要涉及到功能规范、高级设计和操作规程等内容。
2.3 单元测评
单元测评是把测评指标和测评方式等结合到气象信息系统的功能组件上,构成了一个个可以具体测评实施的工作单元。从技术上的物理安全、网络安全、主机安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面分别逐一进行测评。
2.4 系统整体测评
系统整体测评主要是在单元测评的基础上,通过测评分析系统在安全控制间、层面间和安全区域间三个方面存在的关联作用,验证和分析不符合项是否影响系统的安全保护能力,同时分析系统与其他系统边界安全性是否影响系统的安全保护能力,综合测试分析系统的整体安全性是否合理。具体内容包括:安全控制间安全测评、层面间安全测评、区域间安全测评和系统结构安全测评。
在上述工作结束后,最终出具三级气象信息系统等级保护测评报告。
3 气象信息安全现状及存在的问题
在对上述气象信息系统测评过程中发现三类共性的安全问题。
3.1 信息安全问题
首先,是未在核心区与楼层接入区、下联边界区采取访问控制措施;其次,是系统内未部署了入侵检测系统,对服务器的网络访问进行监控;最后,是缺少必要的安全策略和操作规程,未形成完备的安全管理体系。
3.2 气象信息安全需要多方参与
辽宁省气象信息安全工作由省气象信息中心承担。在这种情况下,信息安全问题很可能没有得到充分研究和支持。负责信息安全工作的管理及技术人员应在深入理解气象信息系统的业务流程和目标的基础下,积极参与分析系统所面临的风险,及时了解可能给系统造成潜在影响的最新威胁和漏洞,提供权威的信息风险评估。省气象信息中心通过对风险评估的正确理解,制定安全策略、标准和准则,进而保障信息系统的完整性、机密性和可用性。
3.3 气象信息网络内外网分离
为了有效地降低气象信息系统遭受攻击的风险,信息网络应将信息内网和信息外网物理隔离。
黑客可以通过Internet公共信息网采用木马、蠕虫和病毒等攻击手段,破坏办公系统、窃取机密气象资料、篡改气象网站信息等等。所有这些攻击行为都会对气象信息系统造成损害。
为了保障气象信息系统的安全,应分别建立两套独立的信息网络。信息内网承载气象核心业务系统、财务系统、办公系统、内部视频会议系统以及与上级机构的专线互联系统。信息外网承载门户网站系统、移动办公系统以及对Internet公共信息网的访问等等。信息内外网分离的方式有效地降低了来自Internet公共信息网对气象信息系统的攻击风险。
4 气象信息安全分区分域和纵深防护策略
根据信息网络的构成,信息网络可以分为系统边界、桌面终端域和应用系统域。根据国家等级保护工作的规范,应用系统域可以定级为二级系统域或三级系统域。我们可以在分区分域的基础上,采用纵深的安全防护策略。
4.1 信息系统边界
信息系统边界是气象信息系统和外界数据交互的边界区域,是保障数据安全的第一道屏障。为了保障信息系统边界的数据安全,需要部署安全设备和措施:
一要设置高效、安全的防火墙设备,通过访问策略和阻断策略对通过边界的双向流量进行网络侧过滤,阻止不明身份黑客对信息系统的访问;
二要部署先进的IPS主动防攻击设备,通过配置网络常见攻击匹配包对双向流量进行应用层的检测,可以有效地降低病毒、蠕虫和木马等攻击风险;
三要配备主流的流量控制设备,通过检查异常流量,保护边界出口带宽的正常使用;
四要部署边界设备审计系统和日志分析系统,定期采集网络设备和安全设备的操作日志和运行日志,出具日志报告。通过对日志报告的分析,信息安全管理人员可以对信息系统遭受的攻击、网络边界的规则效用以及设备运行状况进行评估,从而制定下一步相应的安全规划。
4.2 桌面终端域
桌面终端域由气象职工桌面工作终端构成,是信息安全事件的温床。桌面终端域安全防护是安全防御的第二道屏障,主要包括三方面。
一是桌面终端操作系统安全。单位内部大部分PC机所使用的操作系统是微软公司的Windows XP或者Windows Vista,针对黑客攻击行为,微软公司会定期系统安全补丁包。信息内外网应各部署一套微软WSUS补丁服务器,定期统一下载操作系统安全补丁。
二是系统防病毒策略。计算机病毒是电脑系统瘫痪的元凶,防病毒策略由部署在信息内外网的防病毒服务器来实现。在信息内外网各部署一套防病毒服务器,信息内外网PC机设备安装防病毒客户端,定期自动从防病毒服务器更新防病毒库。
三是移动存储介质安全。缺乏有效保护的移动介质是传播病毒的有效载体,是泄密的罪魁祸首。在单位可以部署安全移动存储系统,对U盘进行加密处理。所有员工均使用安全U盘,规避移动介质风险。
4.3 应用系统域
应用系统域由运行应用系统的服务器和存储应用数据的数据库组成。应用系统域安全防护是安全防御的第三道屏障。应用系统域和系统边界以及桌面终端之间需要部署防火墙设备,不同安全防护等级的应用系统域之间也需要部署防火墙设备。应用系统维护人员需要认真统计系统的应用情况,提供详实的端口应用情况,制定实用的访问和阻断策略。
5 结束语
信息网络已成为气象部门开展气象预报、业务应用运行和内部办公的承载平台,气象信息安全也成为安全生产管理中不可或缺的一环。各种信息安全防护技术在气象部门得到了比较广泛的应用,也取得了很好的效果,为保障气象业务安全、可靠、稳定运行,提供了有力的技术支撑。
但同时也应该看到将各种安全设备简单地堆砌起来并不能达到预期的目标,必需根据气象信息系统的特点、结合本单位的实际情况,做好中长期规划。要以适度安全为原则,有针对性、分阶段地部署适合本单位的安全防护技术,并强化管理措施,才能在成本投入和安全目标之间取得最佳平衡点,才能建设好具有气象特色的信息安全防护系统。
参考文献
[1] 信息安全技术信息系统安全等级保护基本要求GB-T 22239-2008,中华人民共和国国家质量监督检验检疫总局,中国国家标准化管理委员会,2008-11-01.
[2] 周国勇,陈磊.信息系统安全检查工作体系设计研究[J].信息网络安全,2012(8):167-169.
[3] 韩阜业,陈震,梁勇等.基于覆盖网的协同式网络安全防护与分析系统[J].信息网络安全,2012 (4):7-13.
作者简介:
服务产品化
北京高院在运维实践中,创新编制服务级别协议(以下简称SLA)的编制方法,实现运维任务与运维成本的可视化管理。解决了以下几个问题:
有利于清晰工作任务。可视化管理的核心是引入了“服务产品”的概念,通过运维工作持续产生信息内容、提供技术支持是“服务产品”的主要形态。实践中,北京高院根据业务需求确定252个 “服务产品”,为了保证产品质量,制定了2983项运维工作任务,依据技术难易程度,考量这项运维工作是由高级、中级还是初级工程师承担的,并将工作逐项分解落实到责任人,促使每位工程师都清晰各自的工作职责和任务。
有利于考核运维质效。既然是“服务产品”,就有了数量、质量要求,也有了优劣之分,既能检验产品质量,也能考量服务质效。
有利于核算运维成本。运维机构投入的人力、智力和财力资源是生产信息“服务产品”的主要成本。将SLA作为统计年度运维人力资源需求的依据,将运维过程投入的各项综合成本封装成以“服务产品”为计价单位的费用计算方式,为科学测算年度运维成本费用提供了翔实的成本构成依据。
有利于促进绩效管理。绩效管理就是督查运维工作质量和效率。在电子政务运维工作中引入绩效管理工程师是机制创新。
服务全外包
全外包就是将电子政务资产的维修更换、软件的升级优化、人员的工时费用等一揽子工作任务通过定额全部外包。北京高院运维管理工作的目标和任务概括起来,就是通过电子政务系统,向业务部门提供及时、准确、优质、高效的信息“服务产品”,促进实现信息与业务深度融合。
有利于激发运维机构责任心。全外包是既包工也包料,是以提供合格的“信息产品”为运维服务的工作目标。这赋予了运维机构更大的自主管理权,责任心强、管理到位,不仅能够节约人力成本,还能减少设备维护更换的费用,管理越规范、工作越严谨,就能获得更好的经济效益。
有利于提高运维服务质量。对于包工不包料的运维模式,当信息网络出现设备故障、信息系统遇到问题时,运维机构为了减轻工作责任,减少成本投入,大多情况会向甲方提出更新设备或升级系统的请求。他们的价值取向是甲方设备越新、辅助管理功能越完善,运维工作则越轻松,所承担的风险也越小。基于这种思路,他们在运维工作中自然产生了等、靠、要的习惯,当然也不会更多地考虑如何提高运维服务质量和效率的问题。
有利于规范运维管理工作。既包工也包料的运维全外包模式,赋予了运维机构更大的管理权限和利润空间,激发了他们优化流程、创新机制、协同工作、自律管理的积极性。
有利于信息与业务有效融合。全外包确定了以提供优质、高效的信息“服务产品”为运维服务目标。信息内容是为业务工作服务的,从这个角度讲,运维服务机构就必须在保障信息系统安全稳定运行的基础上,将重点放在“服务产品”的质量方面,研究业务工作对信息的需求,提高信息“服务产品”质量。
有利于保证系统安全稳定运行。全外包模式运维费用既包括了设备维修更换,也包括了人工一揽子费用,由运维机构全权负责设备维修和更换以及人员配置工作。甲方就像购置了电子政务系统安全稳定运行的保险,无需更多担忧运维成本问题。
驻场服务
全外包模式既然是以提供信息“服务产品”为运维工作目标,运维服务机构就应该采取驻场服务的工作方式,这为保障信息系统稳定运行、满足业务部门的及时需求提供了重要保障。
驻场服务的必要性。掌握技术优势的专业运维机构驻场服务,成为电子政务运维服务的常备队伍。他们不但有条件了解甲方电子政务基础设施、系统环境和应用系统情况,而且长期为业务部门提供贴身服务,进行实地业务调研,既了解业务流程,也清晰工作程序。
驻场服务技术保障。驻场服务机制有效促进了信息与业务的深度融合。实践中,北京高院与设备维护和系统管理、应用策划和内容提供、通信、视频、信息存储、信息安全和资源共享等不同专业的运维机构签订驻场服务协议,实行8小时现场工作和24小时值班制度。
观点
“全外包”必须“贴身服务”
运维服务全外包管理工作机制,为业务工作提供贴身的信息服务成为可能。贴身服务对提高电子政务运行绩效,促进信息与业务深度融合具有重要意义。