守住信息時代安全線

2013-10-17 10:41:12 EP電力信息化網　點擊量：評論 (0)

【事件描述】A單位從2005年開始建設內部信息系統，至2008年基本建設完成，2009年通過國家測評，并取得《使用許可證》。系統主要業務應用包括辦公自動化、財務、人事、物資、項目管理、檔案等管理信息系統。該系統

【事件描述】A單位從2005年開始建設內部信息系統，至2008年基本建設完成，2009年通過國家測評，并取得《使用許可證》。系統主要業務應用包括辦公自動化、財務、人事、物資、項目管理、檔案等管理信息系統。該系統正式運行幾年來，有效地防范了各類涉及信息安全風險事件的發生，確保了A單位的信息安全。

隨著A單位信息化程度的提高，信息系統越來越復雜，在業務運作的過程中生成了大量的數據，各種業務的開展對信息的依賴程度也越來越大，信息安全管理成了A單位風險管理的重要組成部分。

【案例分析】A單位內部信息系統依據內部信息系統分級保護要求進行風險分析，主要分為風險（脆弱性）分析、威脅分析，風險識別與確定等內容。其中，A單位所面臨的信息安全風險主要包括技術風險和管理風險兩方面。

技術風險：技術風險可從物理層、網絡層、系統層、應用層幾個層面進行分析：物理層安全應考慮到環境安全和設備、設施安全；網絡層安全風險主要包括網絡傳輸數據風險、連接互聯網風險、互連設備的安全隱患等；系統層風險主要包括訪問控制脆弱性、病毒攻擊、網絡共享服務、非法外聯、存儲信息丟失等內容；應用層安全風險主要包括應用系統的自身脆弱性、訪問控制風險、數據庫安全風險等。

管理風險：安全保密管理在內部系統的風險防范中占有非常重要的地位，即使有了較完善的安全保密措施，如果管理的力度不夠，依然存在很大的安全隱患。因此應針對安全保密管理進行風險分析，并提供安全保密管理的具體措施。

【警示與建議】隨著網絡環境的日益惡化以及企業自身的發展伴隨著越來越多的商業泄密事件的發生，信息安全問題逐漸被提上議事日程。要保證企業信息安全，就必須找出存在信息安全問題的根源，并具有良好的安全管理策略。A單位在此方面采取的措施，可以為其他單位防范信息風險提供良好的借鑒。

　　1.信息系統風險評估是信息系統安全的基礎和前提。如何保障信息安全是信息系統發展所面臨的關鍵問題。對于所涉及的安全問題，任何單一層次上的安全措施都不可能提供真正意義上的全方位的安全，應該站在系統工程的角度來考慮。在這項系統工程中，信息系統安全風險評估占有重要的地位，它是A單位信息系統安全的基礎和前提。

2.風險分析應充分結合分級保護測評標準。為規范內部信息系統分級保護，國家頒布了有關文件和指南，涵蓋了內部信息系統風險分析所需絕大多數的技術和管理要點，在風險分析中可作為脆弱性與威脅分析的主體框架。A單位對內部信息系統的風險分析采用了自評估、委托評估以及外聘專家等方式，在實現了既定目標的同時，又培養和鍛煉了企業運維管理隊伍。

3.通過風險分析完善安全策略動態閉環結構。企業信息安全的核心問題是安全策略問題，安全策略的制定是一個動態的逐步完善和修改的過程，通過風險分析手段對內部信息系統進行安全評估是整個安全策略動態閉環結構中的重要環節，其核心意義在于發現問題并應對，能夠幫助企業動態地調整和完善安全策略，以達到提高信息安全水平的目的。

　　4.加強內部信息系統的管理風險分析與評估。內部信息系統的運維管理，在具備了基本的安全設備與技術手段的同時，應針對管理進行充分的風險分析，將管理制度落到實處，從在現階段來看，其已經成為阻礙內部信息系統良性運行的重點風險。針對安全保密管理制度的落實，A院采用信息化手段，自主研發了保密管理信息系統，將系統資產，審批流程，維修保障，審計策略等與管理相關的各類制度信息化，流程化，有效保證了管理制度的落實。