《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號),明確指出將等級保護制度作為我國信息安全領(lǐng)域的一項基本制度。2010年發(fā)布的《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》(公信安[2010] 303號)明確指出,"2011年底前完成第三級(含)以上信息系統(tǒng)的測評工作,2012年底之前完成第三級(含)以上信息系統(tǒng)的安全建設(shè)整改工作。”在制度保證的前提下,各企業(yè)和組織要明確信息系統(tǒng)等級保護建設(shè)思路,才能事半功倍,確實提升信息系統(tǒng)安全保障能力。
一、信息安全等級保護的情況介紹
實施信息安全等級保護,能夠有效地提高我國信息和信息系統(tǒng)安全建設(shè)的整體水平,有利于在信息化建設(shè)過程中同步建設(shè)信息安全設(shè)施,保障信息安全與信息化建設(shè)相協(xié)調(diào);有利于為信息系統(tǒng)安全建設(shè)和管理提供系統(tǒng)性、針對性、可行性的指導(dǎo)和服務(wù),有效控制信息安全建設(shè)成本;有利于優(yōu)化信息安全資源的配置,重點保障基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)的安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動信息安全產(chǎn)業(yè)的發(fā)展。
國內(nèi)信息安全等級保護工作的開展是一個隨著計算機技術(shù)的發(fā)展和業(yè)務(wù)對計算機系統(tǒng)依賴性逐漸增加,不斷發(fā)展和完善起來的。《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》正式出臺,明確提出非涉密信息系統(tǒng)遵循等級保護思想進行信息安全建設(shè)。公安部網(wǎng)絡(luò)安全保衛(wèi)局在全國開展等級保護工作試點,先后發(fā)布了信息系統(tǒng)定級、備案、整改建設(shè)、等級測評等各重要環(huán)節(jié)的有關(guān)文件,指導(dǎo)等級保護工作開展。其中2009年的公信安1429號文《關(guān)于開展信息安全等級保護安全建設(shè)整改工作的指導(dǎo)意見》明確提出2012年年底前完成已定級信息系統(tǒng)的整改工作。
等級保護的技術(shù)體系也基本成型,目前涉及到等級保護建設(shè)的技術(shù)標準和規(guī)范大約有30多個,主要包括了技術(shù)、管理、產(chǎn)品、建設(shè)流程等各方面的內(nèi)容,如:定級指南、備案細則、實施指南、安全設(shè)計、基本要求、測評過程要求、測評指南,使得等級保護工作在各個環(huán)節(jié)都有具體的技術(shù)標準可以參考。
二、工作思路與建設(shè)原則
對于具有分支機構(gòu)的大型企業(yè)組織來說,信息安全工作已經(jīng)有等級保護的制度和技術(shù)體系做依托,更多的是在實踐中摸索出適合本企業(yè)組織信息系統(tǒng)安全建設(shè)的工作思路與建設(shè)原則。
統(tǒng)一規(guī)劃、統(tǒng)一標準、統(tǒng)籌協(xié)調(diào)
統(tǒng)一規(guī)劃:統(tǒng)一制訂規(guī)劃建設(shè)推進方案、等級保護工程建設(shè)方法,各信息系統(tǒng)均需要參照規(guī)劃方案實施,不能自行規(guī)劃。
統(tǒng)一標準:統(tǒng)一組織制訂等級保護建設(shè)的流程、步驟、技術(shù)和管理規(guī)范,確保上下銜接、互聯(lián)互通。
統(tǒng)籌協(xié)調(diào):統(tǒng)籌全局,協(xié)調(diào)各分支機構(gòu)或各業(yè)務(wù)系統(tǒng)之間的資源共享、業(yè)務(wù)協(xié)同,聯(lián)合推進等級保護建設(shè)。
分級建設(shè)、分步實施、分類指導(dǎo)
分級建設(shè);統(tǒng)一組織等級保護項目建設(shè);各分支機構(gòu)在總體方案的指導(dǎo)下,負責信息系統(tǒng)在本區(qū)域范圍內(nèi)的建設(shè)和安全運營維護。
分步實施根據(jù)目前等級保護項目建設(shè)基礎(chǔ)條件和特點,采用分批分期建設(shè)方式開展項目建設(shè)。
分類指導(dǎo):對干不同的信息系統(tǒng),采用不同的組織管理模式、工作機制和推進方式。
加強管理
加強管理:落實等級保護項目建設(shè)組織機構(gòu)、責任部門,科學調(diào)度,加強項目過程管理,確保項目取得成功。
建設(shè)原則
法規(guī)遵循:應(yīng)嚴格執(zhí)行國家法律法規(guī)、相關(guān)主管部門的要求。
科學管理:嚴謹、先進的技術(shù)項目實施與科學、規(guī)范的項目實施管理手段相結(jié)合,以提高整體項目實施的效率,保證項目質(zhì)量,縮短項目工期,降低項目成本。
平穩(wěn)過渡項目包含子系統(tǒng)較多,且項目需要進行網(wǎng)絡(luò)改造,在項目實施時,采用分項,循序漸進的方式,保證系統(tǒng)改造不影響日常辦公的使用,平穩(wěn)過渡。
適當先進:綜合考慮本單位實際情況,在結(jié)合實際的基礎(chǔ)上,確保建成的信息系統(tǒng)能夠符合當前網(wǎng)絡(luò)技術(shù)、信息技術(shù)發(fā)展的趨勢,具有一定的先進性,在未來5年內(nèi)能滿足科研生產(chǎn)任務(wù)和國家法律法規(guī)相關(guān)要求的實際需要。
便于維護:系統(tǒng)應(yīng)具有良好的可擴展性和可維護性,部署便利、使用簡便、維護集中,并可以實現(xiàn)服務(wù)和應(yīng)用的靈活擴展。
重視培訓:系統(tǒng)是按計劃分步實施的,培訓也將隨著項目的各個階段分期進行,并根據(jù)培訓的效果做出相應(yīng)的調(diào)整,以達到更好的培訓的效果。
三、信息安全保障體系總體框架
信息安全保障體系總體框架
在進行信息安全等級保護安全建設(shè)工作中,嚴格遵循國家等級保護有關(guān)規(guī)定和標準規(guī)范要求,堅持管理和技術(shù)并重的原則,將技術(shù)措施和管理措施有機結(jié)合,建立信息系統(tǒng)綜合防護體系,提高信息系統(tǒng)整體安全保護能力。非涉密信息系統(tǒng)總體安全框架如圖1所示。
圖1 信息安全保障體系總體框架
總體安全框架是將等級保護基本要求、技術(shù)設(shè)計要求與安全防護需求充分融合,采用“一個中心、兩大體系、三重防護”為企業(yè)組織提供體系化的防護能力,確保系統(tǒng)安全運行。
四、信息安全管理體系的建設(shè)
信息安全管理制度是信息安全領(lǐng)域各種規(guī)則的制度化的體現(xiàn),在信息化相關(guān)活動中起著統(tǒng)一目標、規(guī)范流程、保障信息安全實施效果的重要作用。通過對信息安全制度規(guī)范的決策,首先從高層確保企業(yè)組織的信息安全工作“有法可依”,推動信息安全制度建設(shè)工作,營造一個積極的信息安全控制環(huán)境。
信息安全管理體系的建設(shè),我們要考慮以下幾個方面:一、安全管理制度框架、安全管理制度、規(guī)范、流程及表單;二、信息安全管理機構(gòu)、崗位;三、人員安全管理;四、系統(tǒng)建設(shè)管理;五、系統(tǒng)運維管理。六、合規(guī)性的電子化管理。
企業(yè)組織的等級保護工作也需要信息化的手段來進行約束。信息系統(tǒng)合規(guī)性監(jiān)管系統(tǒng)就是將等級保護相關(guān)基本要求以及風險管理與控制體系建設(shè)方法及過程,按照以重要信息系統(tǒng)為基礎(chǔ)、以等級保護建設(shè)工作流為核心、以等級保護基本要求進行建模、加以等級保護控制措施進行分析,通過風險評估看清風險,通過體系建設(shè)制定任務(wù),通過體系保障完整建設(shè)。從而規(guī)范等級保護建設(shè)管理與控制體系的建設(shè)過程,提升組織信息安全風險管理與控制體系的完備性及有效性。
五、信息安全技術(shù)體系的建設(shè)
信息安全技術(shù)體系規(guī)劃設(shè)計流程
信息安全技術(shù)體系規(guī)劃設(shè)計流程包括五個階段:系統(tǒng)調(diào)研階段、安全域規(guī)劃、系統(tǒng)定級、技術(shù)體系設(shè)計、技術(shù)手段落實。對應(yīng)的輸出是:業(yè)務(wù)系統(tǒng)調(diào)研文檔、安全域規(guī)劃方案、業(yè)務(wù)系統(tǒng)定級方案、業(yè)務(wù)系統(tǒng)安全防護方案、初步設(shè)計文檔技術(shù)體系部分。
信息安全技術(shù)體系設(shè)計原則
設(shè)計信息系統(tǒng)技術(shù)安全解決方案時,應(yīng)遵循以下原則:
風險(需求)、成本〔投入)及效果(收益)相平衡的原則
對任何一個信息系統(tǒng)來說,絕對安全是難以達到的。信息安全技術(shù)體系建設(shè)的最高原則是風險、成本及效果三原則相結(jié)合的結(jié)果。
綜合性、整體性、一致性原則
一個組織的信息系統(tǒng)安全防護是系統(tǒng)工程,必須建立信息安全的完整體系。任何一個新建項目的設(shè)計都要遵循該組織有關(guān)信息化建設(shè)或信息安全建設(shè)總體規(guī)劃的要求。
可擴展、可發(fā)展性原則
信息安全工作是一個螺旋上升的過程。在信息安全技術(shù)體系設(shè)計時要充分繼承該組織現(xiàn)有的信息安全基礎(chǔ)設(shè)施,避免重復(fù)投資。同時平衡考慮滿足當前正在建設(shè)的業(yè)務(wù)應(yīng)用及未來的業(yè)務(wù)發(fā)展要求。
信息安全技術(shù)建設(shè)工作步驟
信息安全技術(shù)體系建設(shè)涉及業(yè)務(wù)領(lǐng)域的各個環(huán)節(jié),在風險評估的基礎(chǔ)上,結(jié)合實際業(yè)務(wù)應(yīng)用,根據(jù)各系統(tǒng)訪問控制需求,科學、合理的劃分“安全域”,是整個信息安全技術(shù)體系建設(shè)的首要工作。
安全域劃分
通過劃分安全域,明確網(wǎng)絡(luò)邊界,才能便于實現(xiàn)網(wǎng)絡(luò)區(qū)域、物理區(qū)域之間的有效隔離和訪問控制。安全域劃分的目的是把一個大規(guī)模復(fù)雜系統(tǒng)的安全問題,化解為更小區(qū)域的安全保護問題,是實現(xiàn)大規(guī)模復(fù)雜信息系統(tǒng)安全等級保護的有效方法。
在企業(yè)或組織中,我們通常會看到這樣的區(qū)域互聯(lián)網(wǎng)業(yè)務(wù)發(fā)布區(qū)、企業(yè)內(nèi)網(wǎng)工作區(qū)和數(shù)據(jù)交換區(qū)。具體到一個重要的信息系統(tǒng),比如視頻業(yè)務(wù)系統(tǒng)就可以細化為生產(chǎn)制作區(qū)域、共享區(qū)域、播出區(qū)域、安全管理區(qū)域。
明確安全域的防護手段
信息安全技術(shù)體系是利用各種安全技術(shù)、產(chǎn)品以及工具作為安全管理和運行落實的重要手段、最終支撐信息安全體系的建設(shè)。防護手段分了五個方面:身份認證、訪問控制、內(nèi)容安全、監(jiān)控審計與備份恢復(fù)。這里我們要重點強調(diào)身份認證,統(tǒng)一的身份管理和統(tǒng)一的認證管理是技術(shù)體系的前提保障,有了完善的身份認證的基礎(chǔ)架構(gòu),我們的業(yè)務(wù)才能夠順暢開展,才有可能回答這樣一個安全問題“什么人、什么時間、做了什么事情?”
確保防護手段的合規(guī)性
在選擇安全防護技術(shù)時,我們應(yīng)充分考慮遵循國家等級保護的相關(guān)技術(shù)標準,以確保合規(guī)性。圖2為信息系統(tǒng)等級保護二、三、四級技術(shù)要求。
圖2 信息系統(tǒng)等級保護等級要求
確保防護手段的適應(yīng)性
結(jié)合企業(yè)或組織的現(xiàn)狀、經(jīng)費預(yù)算、建設(shè)階段和實際需求,在各安全域的防護設(shè)計過程中充分考慮適應(yīng)性。
計算環(huán)境的安全防護設(shè)計
計算環(huán)境包含了重要應(yīng)用系統(tǒng)的核心主機或服務(wù)器、數(shù)據(jù)庫服務(wù)器、存儲系統(tǒng)等。我們重點考慮的是身份鑒別、訪問控制、資源控制數(shù)據(jù)完整性、數(shù)據(jù)保密性與備份恢復(fù)。在這里我們要強調(diào)應(yīng)用開發(fā)環(huán)節(jié)在安全防護設(shè)計中的重要性,如編碼安全、基于用戶身份的資源訪問控制和行為審計、基于應(yīng)用設(shè)計的流量控制方法,這些都可以有效減少硬件安全產(chǎn)品的部署,提升業(yè)務(wù)連續(xù)性能力。
邊界接入與網(wǎng)絡(luò)設(shè)施安全防護設(shè)計
網(wǎng)絡(luò)設(shè)施主要包括了網(wǎng)絡(luò)骨干區(qū)域、網(wǎng)絡(luò)接人區(qū)域。我們可以把它看成公共的基礎(chǔ)性區(qū)域,是企業(yè)各個應(yīng)用系統(tǒng)出口的高速公路,是企業(yè)連續(xù)性要求的重要依托。我們強調(diào)的是結(jié)構(gòu)化的安全、安全審計與網(wǎng)絡(luò)設(shè)備自身的防護。
終端接入安全防護設(shè)計
隨著企業(yè)和組織的業(yè)務(wù)發(fā)展,組網(wǎng)技術(shù)的發(fā)展,終端的定義越來越寬泛,接人的形式也越來越多樣化。信息安全問題直接延伸到企業(yè)人員使用的端點設(shè)備上。我們應(yīng)重點強調(diào)身份鑒別、惡意代碼防范和用戶行為控制,同時也要意識到易用性與安全的平衡。
六、信息安全運維體系的建設(shè)
企業(yè)和組織的信息化過程已經(jīng)從大規(guī)模建設(shè)階段逐步轉(zhuǎn)型為“建設(shè)和運維”并舉的階段。我們可以看到大多數(shù)的信息安全運維體系的服務(wù)水平處在一個被動的階段。主要表現(xiàn)在信息技術(shù)和設(shè)備的應(yīng)用越來越多,但運維人員在信息系統(tǒng)出現(xiàn)安全事件的時候卻茫然不知所措。因此,行之有效的信息安全運維體系,是信息安全管理體系與信息安全技術(shù)體系落地的根本之道。
運維服務(wù)的發(fā)展趨勢與階段劃分
安全運維服務(wù)通常可以分為五個階段:混亂、被動、主動、服務(wù)和價值階段。"NSM一ITSM-}BSM”將是IT管理逐步提升的經(jīng)典路線模型,反映了IT的運營作為一個新興的企業(yè)活動逐步成熟,持續(xù)提升。NSM(針對IT技術(shù)設(shè)施的網(wǎng)絡(luò)系統(tǒng)管理)、ITSM(針對流程、人員管理的IT服務(wù)管理),BSM(業(yè)務(wù)服務(wù)管理)這些目前己經(jīng)被廣泛應(yīng)用的理念,在IT管理的發(fā)展過程中,發(fā)揮了巨大的作用。
安全運維體系的構(gòu)建
目前條件下的安全運維體系可以分三個階段構(gòu)建:
第一階段從“被動響應(yīng)”到“主動管理”,是采用NSM實現(xiàn)管理提升的階段。通過實現(xiàn)對技術(shù)元素的數(shù)據(jù)收集和分析,獲得從整個IT信息環(huán)境到每個計算實體元素的運行狀態(tài)信息,因此也能夠在故障發(fā)生時或者發(fā)生之前采取主動的管理操作,實現(xiàn)對工T技術(shù)設(shè)施的有效掌控和管理,有效提高IT環(huán)境的運行質(zhì)量。建立安全運維監(jiān)控中心實現(xiàn)第一階段目標
第二階段:從“主動管理”到“服務(wù)導(dǎo)向”,采用ITSM實現(xiàn)管理提升。在實現(xiàn)了對所有IT技術(shù)元素的全面監(jiān)控以后,IT技術(shù)設(shè)施的運行質(zhì)量有了明顯改善,但仍未從根本上解決“意外問題”的發(fā)生。全球范圍內(nèi)的調(diào)查表明,IT問題的出現(xiàn),除了和設(shè)備元素本身的可靠性、性能等密切相關(guān)以外,更多的問題(超過80%)是由于IT運維人員沒有按照規(guī)范的操作流程來進行日常的維護管理,缺乏有效的協(xié)同機制等造成的。也就是說,管理的缺位,而不是技術(shù)設(shè)施本身的問題阻礙了企業(yè)IT部門工作效率的提高。借鑒并融合ITIL(信息系統(tǒng)基礎(chǔ)設(shè)施庫)/ITSM (IT服務(wù)管理)建立安全運維事件響應(yīng)中心,借助圖形化、可配置的工作流程管理系統(tǒng),將運維管理工作以任務(wù)和工作單傳遞的方式,通過科學的、符合用戶運維管理規(guī)范的工作流程進行處置,處理過程電子化流轉(zhuǎn)、減少人工錯誤,實現(xiàn)對事件、問題處理過程中的各個環(huán)節(jié)的追蹤、監(jiān)督和審計。
第三階段:從“服務(wù)管理”到“業(yè)務(wù)價值”,采用BSM實現(xiàn)管理提升。在信息時代,企業(yè)的發(fā)展和IT環(huán)境的成熟是一個互相驅(qū)動、交替上升的過程。商業(yè)社會中,企業(yè)作為一個經(jīng)濟運行實體,其所有的活動和投人都是圍繞利益產(chǎn)出的目標進行的。在當前激烈的商業(yè)競爭環(huán)境中,企業(yè)正不斷地進行變革,以適應(yīng)市場和用戶的需求。作為業(yè)務(wù)重要支撐元素的IT正面臨著越來越大的挑戰(zhàn)。如何充分利用已有的IT資源并持續(xù)優(yōu)化資源配置,如何實現(xiàn)IT和業(yè)務(wù)目標相統(tǒng)一、持續(xù)推動業(yè)務(wù)發(fā)展、創(chuàng)造商業(yè)價值,己經(jīng)成為眾多企業(yè)信息部門主管、CIO、甚至更高層管理人員的重要難題。建立以信息資產(chǎn)管理為核心的安全運維審核評估中心是這一階段的工作目標。能夠?qū)崿F(xiàn)信息系統(tǒng)運行質(zhì)量、服務(wù)水平、運維管理工作績效的綜合評估、考核、審計:能夠?qū)崿F(xiàn)關(guān)鍵業(yè)務(wù)的配置管理、關(guān)鍵業(yè)務(wù)與基礎(chǔ)設(shè)施的關(guān)聯(lián)、關(guān)鍵業(yè)務(wù)的綜合運行態(tài)勢的把握。
七、結(jié)束語
在信息安全保障體系總體框架的指導(dǎo)下,注重信息安全管理體系、技術(shù)體系和運維體系的建設(shè)。充分意識到等級保護建設(shè)整改過程中的政策和技術(shù)發(fā)展的風險,注重安全技術(shù)手段的適用性,就可以有效地解決企業(yè)和組織面臨的安全問題,按照“明確重點、突出重點、保護重點”的原則,將有限的財力、物力、人力投人到重要信息系統(tǒng)的安全保護中,逐步推進企業(yè)信息系統(tǒng)安全保障水平。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://m.vmgcyvh.cn/
相關(guān)文章
