现代情报
2004年8月August . 2004
第8期No . 8
我国中小企业信息安全的防护模型
王 玢 吴春旭
(中国科技大学, 合肥230026)
〔摘 要〕 本文通过对我国中小企业信息安全现状的调查和分析, 探讨其在信息安全方面存在的问题, 结合中小企业规模小、资金有限等特点, 提出了一套完整的从人员、体制、技术三方面相结合的信息安全的防护模型, 力求把中小企业的安全风险降至最低。
〔关键词〕 中小企业; 信息安全; 防护; 模型
〔Abstract 〕 This paper , after investigating and analyzin g the current situation of information security of the
s mall and mediu m -sized enterprise of our country , probes into it the problems that exist in information securit y . And
combined with the little s ize and limited fund scope of the s mall and medium -sized enterprises characteristics , it propos -es a set of intact protection model of information security where the three respects of the person , system , technology are combined together , which will help the small and medium -sized enterprise bring down the security risk to an acceptable level .
〔Key words 〕 the small and medium -sized enterprise ; in formation security ; protection ; model
〔中图分类号〕G203 〔文献标识码〕C 〔文章编号〕1008-0821(2004) 08-0152-03
目前, 我国已有1000万家以上的中小企业, 并且每年
新增超过百万, 占中国企业主体比重的95%以上。随着信息技术的发展与普及, 中小企业都在加大信息化建设的力度。然而, 通过对一部分中小企业的调查分析发现, 企业的信息安全状况不容乐观。本文分析了当前中小企业存在的主要隐患, 针对其实际需求和客观能力, 提出一套中小企业信息安全的防护模型, 力求把企业的安全风险降至最低。
际情况和需求去选择。常常认为, 购买了信息安全产品就买到了绝对信息安全。购买和使用信息安全产品时不加选择, 65%的企业在装置信息安全产品时使用缺省设置, 事实上却不一定符合每个企业的实际需求。1. 5 缺乏信息技术专业人员, 更缺乏既懂信息技术又精通信息安全的专业人才。1. 6 安全机制不完善。安全政策和策略不明确, 管理松散; 软硬件及附属和辅助设备的实体安全措施不到位; 内部安全控制力度不强; 与安全相关的审计监督等体制不健全等。1. 7 中小企业的信息伦理意识不强。由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。
可见, 企业不但要重视外来防范, 更要注意内部的信息安全保护。企业的信息安全包括安全策略、技术、管理等复杂的因素, 而非技术、产品就能解决的。中小企业的信息安全保护, 需要一整套从内部核心到边界再到边界外的完整的信息安全管理机制。由于中小企业自身规模小、资金有限, 安全建设需要特别考虑经济问题, 力求成本低、可靠性高和实用性强的安全解决方案。
1 中小企业信息安全的现状企业情报工作
信息安全包括信息内容安全、计算机网络安全和计算机通信安全等。一般来说, 企业面临的信息安全问题主要有两大类:一是内部安全问题, 包括意外安全事故和内部人故意破坏; 二是外来安全威胁, 指计算机黑客、病毒和蠕虫等外来的攻击。
通过调查, 中小企业在内部信息安全方面存在的问题主要有:1. 1 信息安全意识不强。现在, 信息安全虽然引起了中小企业的重视, 但仍有部分企业抱侥幸心理, 认为自己的企业规模小, 不会受到攻击, 缺乏防范意识, 没有充分认识到信息安全疏漏带来的严重后果。
1. 2 信息安全投入不够。一来企业规模小, 资金有限, 二来安全产品身价不菲, 一般中小企业信息安全的投资非常有限。1. 3 多数中小企业对信息安全的认识还局限在信息安全的边界, 即防病毒、防火墙和入侵检测上, 只注重防范外来的非法入侵, 却不注意保护内部信息的安全, 核心的资料、数据未得到妥善的保管。
1. 4 对信息安全产品缺乏认识和理解, 没有根据企业的实
2 中小企业信息安全的P3R2AME 防护模型
针对中小企业存在问题, 本文从信息安全的要求出发,
结合中小企业的特性, 提出了较完整的企业信息安全防护模型。该模型以策略(Policy ) 为核心, 依次进行风险分析(Analyse ) 、制定方案(Plan ) 、安全防护(Protection ) 、实时监测(Monitor ) , 直至实时响应(Response ) 和恢复(Recov -er ) 工作。这个过程是动态循环的, 响应和恢复情况又为风险分析提供依据, 并且在整个过程中, 时刻注重在企业内部进行安全教育(Education ) 。各部分关系如图1所示:
收稿日期:2004—02—27
作者简介:王 玢(1981—), 女, 中国科技大学商学院硕士研究生, 研究方向:信息管理。
吴春旭(1957—), 男, 毕业于北京邮电大学信息工程系, 硕士, 中国科技大学商学院副教授, 主要研究方向:信息管理。
2004年8月August . 2004
第8期No . 8
现代情报
滤访问的网页和通行的邮件等。要加强保密监督工作, 建立信息保密管理制度, 做到责任明确、管理到位。
2. 3. 4 建立其他相关制度包括运行审批制度、日志管理制度、灾难恢复制度、有害数据及计算机病毒的预防、发现及清除的管理制度、计算机机房及其他重要区域内的出入制度、储存数据资料和设备的备份制度等等。
建立科学的安全体制是基础, 运用先进的安全技术是关键。
首先, 企业领导人有义务在安全措施上进行必要的投
资, 安全的考虑必须优先于财政和使用方便的考虑。同时, 图1 P3R2AME 防护模型
选择安全产品要根据企业的状况和需求, 不能盲目随流, 2. 1 策略(P )
或者认为越贵就越好。
策略是指企业的安全策略, 各项工作都以策略为指导。其次, 安全防护的重点是保护内部数据信息和网络安风险分析有风险分析策略, 制定方案有制定方案策略, 安全监控。重点采纳的安全技术有:
全防护有安全防护策略, ……教育也有相应的教育策略。
(1) 密码技术。重要的系统密码采用数字、字母和其2. 2 风险分析(A )
他字符并用的设置办法, 加大破译难度, 当然对于信息人风险分析是指根据企业现状, 分析哪些部位存在潜在员也要便于记忆; 要定期或不定期地更换密码; 还可以采的安全威胁, 对于不确定事件在一定的时间周期内所引起用多重口令的形式, 提供安全保障。
的潜在损失作出定量或定性测量的过程。分析标准因各行(2) 加密技术。数据传输过程中, 应采用加密算法以业各企业而异, 一般以资产、收入的损失为衡量标准。首防专有信息被截获。企业确定安全保密目标后, 要慎重选先列出企业面临的所有安全问题, 它们分别来自哪些部门、择经国家主管部门批准的、确实具有相应强度的密码算法。
哪些部位。这些部门、部位就决定了一系列的安全需求, (3) 审计跟踪和恢复、备份技术。对于重要的操作及它们之间是多对多的关系。一个需求部位可以决定多种安其过程, 应当实施有效的审计跟踪, 揭示异常的操作过程。全需求, 一种安全需求也可能来自不同的需求部位。而根而如果系统遭到入侵和纂改, 那么就需要使用恢复和备份据信息安全和信息安全管理对于不同部位的重要性不同, 机制。一旦数据遭到破坏, 就将备份的复本装入系统以取安全需求的优先等级也不同。根据需求内容和需求等级, 代被毁的原件。
进一步确定信息系统的安全等级划分, 明确需要安全、保(4) 防火墙技术。内部上网的计算机都应安装防火墙密的重点防范部位。另外, 并不是所有的安全威胁都必须软件, 确保信息不被外来者非法访问。
采取措施进行防范, 对于有些安全问题, 不采取措施而容(5) 防病毒技术。单一主机使用单机版杀毒软件就可忍可能的损失可能更为经济, 这点对中小企业来说更有意以有效地防止病毒入侵。但是企业内部的电脑都是连着
义。
(局域) 网的, 为保护其不受病毒、黑客等攻击, 应选择企2. 3 制定方案(P )
业级防病毒产品。
安全需求确定之后, 就开始着手制定安全方案。安全企业应该选择针对自身环境的, 把入侵检测、漏洞扫方案可以依据相关的国内外标准或行业标准制定, 也可以描、网络反窃听、反密码猜解、个人防火墙、内网网管、自己设计, 一般从建立安全体制和运用安全技术两方面考文件加密等功能集于一体的先进全面的安全工具, 建立起虑。
由内到外的安全管理系统, 彻底地从每一台电脑, 每一个建立安全体制要做的重点工作如下:网段着手, 对内部网络进行全方位的监控和保护。由于中2. 3. 1 建立安全机构
小企业缺乏技术人员, 选择安全产品时要考虑软件厂商的中小企业要有建立安全机构的科学意识, 它由单位负技术能力和服务、响应能力。
责人领导, 具体工作由安全负责人负责。信息安全机构的2. 4 安全防护(P )
职责是:制定并实施企业的信息安全方针、政策与法规, 中小企业的信息安全防护包括:对各部门的信息安全管理工作进行指导和管理, 对破坏信2. 4. 1 访问控制
息安全的重大事件进行调查与处理等。
对于系统的重要信息, 企业领导、安全负责人拥有最2. 3. 2 安全职责明确, 有限授权
高的访问权限, 对其他员工的访问要进行级别控制。对于安全负责人拥有访问和操作信息系统的最高权限, 同外来人员访问系统, 则更要加强权限的限定。时他(她) 必须对本单位的信息安全负全部责任。其他如2. 4. 2 加密传输
操作员、系统管理员、安全监督管理员等, 必须进行分权使攻击者不能了解并修改传输中的敏感数据。制约。各个职责都应当是有限的, 各种职责授权的权限也2. 4. 3 建立防火墙, 抵御病毒
应当是有限的, 各职责之间不应当有交叉、覆盖的部分。根据企业实际需求和经济能力, 购买相应的防火墙和2. 3. 3 健全信息系统的操作规程、制度, 重视保密管理
防病毒产品。如防止私自拷贝, 控制网络登录, 实行密码管理, 过
2. 4. 4 建立安全日志
—
企
业
情报
工作
现代情报
2004年8月August . 2004
第8期No . 8
对信息系统的存取数据、程序和文件的处理过程进行监视和记录。
2. 4. 5 设备安全维护管理
系统安全涉及的各类软、硬设备的选型、验收、维护、仓储等工作。由于我国安全技术刚刚起步, 现在还不得不进口一些国外的安全产品, 要格外注意可能存在的安全隐患, 进行必要的安全检查。2. 4. 6 信息系统软硬功能和数据信息的备份安全管理具体包括:关键或易损的设备、部件或元器件; 操作系统; 数据库、数据信息; 备用密码技术、产品; 重要的软件功能; 审计记录的安全保护; 应急措施、手段或者冷、热备份等安全维护管理。2. 4. 7 成立安全监控中心
是指涉及信息开发、信息传播、信息管理和信息利用等方面的伦理要求、伦理准则、伦理规约等。特别对于信息技
术的专业人员, 必须进行相应的计算机安全课程和职业道德的培训, 要让他们认识到自己有义务尽其所能地加强安全防护, 更不能因个人原因而人为地对系统进行破坏; 要让员工认识到企业团体是我们生活的大家庭, 维护基本的道德秩序、禁止不道德的信息行为是每个人的神圣职责; 要形成必要的道德自律, 履行信息义务, 讲究网络礼仪。再次, 加强对信息安全行为的道德监察和监督。企业内部应加强举报机制, 制止任何已有的和潜在的不良行为。事态较轻者提出警告和批评, 严重者就要送交公安部门处理。
对可能影响系统安全的内外因素进行监控、检测和跟踪, 并根据安全策略进行及时响应, 对系统运行状况进行调整, 以保证与系统安全目标相一致。同时, 监控中心还有必要定期地提供有关系统的安全状态、安全漏洞、安全建议的报告。
2. 4. 8 考虑日常安全需要
注意系统设备的防火、防盗、防爆、防水、防震甚至防电磁等需要。2. 4. 9 人事安全管理
人事安全管理的核心是建立一套计算机操作人员和管理人员严格选拔、明确职责、相互制约的工作制度。对于处理机密信息的系统, 所有接触人员, 都必须按机要人员的标准进行审查。应当明确规定其需要承担的保密义务和相关责任, 要求作出规范、严肃的正式承诺; 对于关键岗位的人选, 如系统分析员, 不仅要有严格的政审, 还要考虑其现实表现、工作态度、道德修养和业务能力等方面, 尽可能保证这部分人员安全可靠; 对调离人员, 特别是在
3 运用P3R2AME 模型时应该注意的几个问题3. 1 信息安全建设需要人、体制、技术三要素的结合
模型中的各个步骤和要素环环相扣, 密不可分。人是基础, 安全建设需要领导和员工的科学认识和行动; 技术是工具, 是高含量的成果; 但是技术必须要人通过体制去实现和操作, 才能发挥最大效用。中小企业不但要大力引入高技术, 还要建立起科学的安全体制, 最重要的是引进和培养信息安全人才。
3. 2 信息安全建设是动态的
道高一尺, 魔高一丈, 任何时候我们都不能说“信息系统绝对安全”。安全设施的敏感性、竞争性及对抗性非常剧烈, 企业内外的各种因素也是瞬息万变, 所以组织内部要不断地检查、分析安全状况的变化, 调整安全策略, 适应其发展变化。
3. 3 信息安全建设过程要注重经济性
毕竟是中小企业, 单个购买力相对较弱, 资金有限。体制建设要力求精简, 重点突出; 特别是安全产品价格不菲, 可以只选择最需要的方面, 但是不要购买盗版产品来以次充好。同时可以考虑一些原始的安全措施来进行防御, 如内部计算机不上网等。
企不情愿的情况下被调走的人员, 必须向其申明调离后的保业密义务, 收回所有相关证件物品, 系统必须更换口令和机情要锁。在调离决定通知本人的同时, 必须立即或预先进行报
工上述工作, 不能拖延。作2. 5 实时监测(M )
无论信息系统防护得多么牢固, 依旧不能说“系统是
安全的”。任何防护措施都不能保证不出现新的安全事件, 不被手段高超的人员成功入侵, 必须选择安全监测工具对信息系统进行实时安全性监测, 及时发现并修正存在的弱点和安全漏洞。实时监测中, 入侵检测系统是目前广泛运用的一种技术和管理手段。
3. 4 运用时要因不同企业而异
即使都属中小企业, 也存在行业、规模、安全要求等的不同。在实施该方案时, 应根据自己企业的特点进行适当调整, 确定适合本企业的安全体制、安全技术和人员配备。
参考文献
[1]H öne , Karin ; Eloff , J . H . P . Information security policy —what do international information security standards say ? Computers and Security Volume :21, Issue :5, October 1, 2002, pp . 402—409.
[2]Van der Haar , Helen ; von Sol ms , Rossouw . A model for deriving in formation security control attribute profiles . Computers and Security Volu me :22, Issue :3, April , 2003, pp . 233—244.
[3]冯长根, 刘振翼. 信息安全的现状与若干进展[J ]. 安全与环境学报, 2003. 2, 3, (1) .
[4]王毅刚. 信息安全管理标准BS 7799-2:2002介绍[J ]. 中国标准化, 2003. 5.
2. 6 实时响应(R ) 和恢复(R )
实时响应是指发生安全事故后的紧急处理程序, 恢复是将损失的系统复原到事故发生以前的状态。首先要有由技术人员组成的响应和恢复小组, 一旦事发便可投入工作; 其次常备一些重要的安全管理工具, 如清病毒软件、硬件, 专用的软件诊断、检测、维修工具, 专用的仪器、设备等。
2. 7 教育(E )
科学的安全建设不仅包括技术、体制的硬防护措施, 还包含对人的教育的软防护措施。首先, 加强宣传工作和安全教育, 让员工认识到安全威胁无处不在, 明确影响安全的各种因素。其次, 加强信息伦理建设。所谓信息伦理,
现代情报
2004年8月August . 2004
第8期No . 8
我国中小企业信息安全的防护模型
王 玢 吴春旭
(中国科技大学, 合肥230026)
〔摘 要〕 本文通过对我国中小企业信息安全现状的调查和分析, 探讨其在信息安全方面存在的问题, 结合中小企业规模小、资金有限等特点, 提出了一套完整的从人员、体制、技术三方面相结合的信息安全的防护模型, 力求把中小企业的安全风险降至最低。
〔关键词〕 中小企业; 信息安全; 防护; 模型
〔Abstract 〕 This paper , after investigating and analyzin g the current situation of information security of the
s mall and mediu m -sized enterprise of our country , probes into it the problems that exist in information securit y . And
combined with the little s ize and limited fund scope of the s mall and medium -sized enterprises characteristics , it propos -es a set of intact protection model of information security where the three respects of the person , system , technology are combined together , which will help the small and medium -sized enterprise bring down the security risk to an acceptable level .
〔Key words 〕 the small and medium -sized enterprise ; in formation security ; protection ; model
〔中图分类号〕G203 〔文献标识码〕C 〔文章编号〕1008-0821(2004) 08-0152-03
目前, 我国已有1000万家以上的中小企业, 并且每年
新增超过百万, 占中国企业主体比重的95%以上。随着信息技术的发展与普及, 中小企业都在加大信息化建设的力度。然而, 通过对一部分中小企业的调查分析发现, 企业的信息安全状况不容乐观。本文分析了当前中小企业存在的主要隐患, 针对其实际需求和客观能力, 提出一套中小企业信息安全的防护模型, 力求把企业的安全风险降至最低。
际情况和需求去选择。常常认为, 购买了信息安全产品就买到了绝对信息安全。购买和使用信息安全产品时不加选择, 65%的企业在装置信息安全产品时使用缺省设置, 事实上却不一定符合每个企业的实际需求。1. 5 缺乏信息技术专业人员, 更缺乏既懂信息技术又精通信息安全的专业人才。1. 6 安全机制不完善。安全政策和策略不明确, 管理松散; 软硬件及附属和辅助设备的实体安全措施不到位; 内部安全控制力度不强; 与安全相关的审计监督等体制不健全等。1. 7 中小企业的信息伦理意识不强。由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。
可见, 企业不但要重视外来防范, 更要注意内部的信息安全保护。企业的信息安全包括安全策略、技术、管理等复杂的因素, 而非技术、产品就能解决的。中小企业的信息安全保护, 需要一整套从内部核心到边界再到边界外的完整的信息安全管理机制。由于中小企业自身规模小、资金有限, 安全建设需要特别考虑经济问题, 力求成本低、可靠性高和实用性强的安全解决方案。
1 中小企业信息安全的现状企业情报工作
信息安全包括信息内容安全、计算机网络安全和计算机通信安全等。一般来说, 企业面临的信息安全问题主要有两大类:一是内部安全问题, 包括意外安全事故和内部人故意破坏; 二是外来安全威胁, 指计算机黑客、病毒和蠕虫等外来的攻击。
通过调查, 中小企业在内部信息安全方面存在的问题主要有:1. 1 信息安全意识不强。现在, 信息安全虽然引起了中小企业的重视, 但仍有部分企业抱侥幸心理, 认为自己的企业规模小, 不会受到攻击, 缺乏防范意识, 没有充分认识到信息安全疏漏带来的严重后果。
1. 2 信息安全投入不够。一来企业规模小, 资金有限, 二来安全产品身价不菲, 一般中小企业信息安全的投资非常有限。1. 3 多数中小企业对信息安全的认识还局限在信息安全的边界, 即防病毒、防火墙和入侵检测上, 只注重防范外来的非法入侵, 却不注意保护内部信息的安全, 核心的资料、数据未得到妥善的保管。
1. 4 对信息安全产品缺乏认识和理解, 没有根据企业的实
2 中小企业信息安全的P3R2AME 防护模型
针对中小企业存在问题, 本文从信息安全的要求出发,
结合中小企业的特性, 提出了较完整的企业信息安全防护模型。该模型以策略(Policy ) 为核心, 依次进行风险分析(Analyse ) 、制定方案(Plan ) 、安全防护(Protection ) 、实时监测(Monitor ) , 直至实时响应(Response ) 和恢复(Recov -er ) 工作。这个过程是动态循环的, 响应和恢复情况又为风险分析提供依据, 并且在整个过程中, 时刻注重在企业内部进行安全教育(Education ) 。各部分关系如图1所示:
收稿日期:2004—02—27
作者简介:王 玢(1981—), 女, 中国科技大学商学院硕士研究生, 研究方向:信息管理。
吴春旭(1957—), 男, 毕业于北京邮电大学信息工程系, 硕士, 中国科技大学商学院副教授, 主要研究方向:信息管理。
2004年8月August . 2004
第8期No . 8
现代情报
滤访问的网页和通行的邮件等。要加强保密监督工作, 建立信息保密管理制度, 做到责任明确、管理到位。
2. 3. 4 建立其他相关制度包括运行审批制度、日志管理制度、灾难恢复制度、有害数据及计算机病毒的预防、发现及清除的管理制度、计算机机房及其他重要区域内的出入制度、储存数据资料和设备的备份制度等等。
建立科学的安全体制是基础, 运用先进的安全技术是关键。
首先, 企业领导人有义务在安全措施上进行必要的投
资, 安全的考虑必须优先于财政和使用方便的考虑。同时, 图1 P3R2AME 防护模型
选择安全产品要根据企业的状况和需求, 不能盲目随流, 2. 1 策略(P )
或者认为越贵就越好。
策略是指企业的安全策略, 各项工作都以策略为指导。其次, 安全防护的重点是保护内部数据信息和网络安风险分析有风险分析策略, 制定方案有制定方案策略, 安全监控。重点采纳的安全技术有:
全防护有安全防护策略, ……教育也有相应的教育策略。
(1) 密码技术。重要的系统密码采用数字、字母和其2. 2 风险分析(A )
他字符并用的设置办法, 加大破译难度, 当然对于信息人风险分析是指根据企业现状, 分析哪些部位存在潜在员也要便于记忆; 要定期或不定期地更换密码; 还可以采的安全威胁, 对于不确定事件在一定的时间周期内所引起用多重口令的形式, 提供安全保障。
的潜在损失作出定量或定性测量的过程。分析标准因各行(2) 加密技术。数据传输过程中, 应采用加密算法以业各企业而异, 一般以资产、收入的损失为衡量标准。首防专有信息被截获。企业确定安全保密目标后, 要慎重选先列出企业面临的所有安全问题, 它们分别来自哪些部门、择经国家主管部门批准的、确实具有相应强度的密码算法。
哪些部位。这些部门、部位就决定了一系列的安全需求, (3) 审计跟踪和恢复、备份技术。对于重要的操作及它们之间是多对多的关系。一个需求部位可以决定多种安其过程, 应当实施有效的审计跟踪, 揭示异常的操作过程。全需求, 一种安全需求也可能来自不同的需求部位。而根而如果系统遭到入侵和纂改, 那么就需要使用恢复和备份据信息安全和信息安全管理对于不同部位的重要性不同, 机制。一旦数据遭到破坏, 就将备份的复本装入系统以取安全需求的优先等级也不同。根据需求内容和需求等级, 代被毁的原件。
进一步确定信息系统的安全等级划分, 明确需要安全、保(4) 防火墙技术。内部上网的计算机都应安装防火墙密的重点防范部位。另外, 并不是所有的安全威胁都必须软件, 确保信息不被外来者非法访问。
采取措施进行防范, 对于有些安全问题, 不采取措施而容(5) 防病毒技术。单一主机使用单机版杀毒软件就可忍可能的损失可能更为经济, 这点对中小企业来说更有意以有效地防止病毒入侵。但是企业内部的电脑都是连着
义。
(局域) 网的, 为保护其不受病毒、黑客等攻击, 应选择企2. 3 制定方案(P )
业级防病毒产品。
安全需求确定之后, 就开始着手制定安全方案。安全企业应该选择针对自身环境的, 把入侵检测、漏洞扫方案可以依据相关的国内外标准或行业标准制定, 也可以描、网络反窃听、反密码猜解、个人防火墙、内网网管、自己设计, 一般从建立安全体制和运用安全技术两方面考文件加密等功能集于一体的先进全面的安全工具, 建立起虑。
由内到外的安全管理系统, 彻底地从每一台电脑, 每一个建立安全体制要做的重点工作如下:网段着手, 对内部网络进行全方位的监控和保护。由于中2. 3. 1 建立安全机构
小企业缺乏技术人员, 选择安全产品时要考虑软件厂商的中小企业要有建立安全机构的科学意识, 它由单位负技术能力和服务、响应能力。
责人领导, 具体工作由安全负责人负责。信息安全机构的2. 4 安全防护(P )
职责是:制定并实施企业的信息安全方针、政策与法规, 中小企业的信息安全防护包括:对各部门的信息安全管理工作进行指导和管理, 对破坏信2. 4. 1 访问控制
息安全的重大事件进行调查与处理等。
对于系统的重要信息, 企业领导、安全负责人拥有最2. 3. 2 安全职责明确, 有限授权
高的访问权限, 对其他员工的访问要进行级别控制。对于安全负责人拥有访问和操作信息系统的最高权限, 同外来人员访问系统, 则更要加强权限的限定。时他(她) 必须对本单位的信息安全负全部责任。其他如2. 4. 2 加密传输
操作员、系统管理员、安全监督管理员等, 必须进行分权使攻击者不能了解并修改传输中的敏感数据。制约。各个职责都应当是有限的, 各种职责授权的权限也2. 4. 3 建立防火墙, 抵御病毒
应当是有限的, 各职责之间不应当有交叉、覆盖的部分。根据企业实际需求和经济能力, 购买相应的防火墙和2. 3. 3 健全信息系统的操作规程、制度, 重视保密管理
防病毒产品。如防止私自拷贝, 控制网络登录, 实行密码管理, 过
2. 4. 4 建立安全日志
—
企
业
情报
工作
现代情报
2004年8月August . 2004
第8期No . 8
对信息系统的存取数据、程序和文件的处理过程进行监视和记录。
2. 4. 5 设备安全维护管理
系统安全涉及的各类软、硬设备的选型、验收、维护、仓储等工作。由于我国安全技术刚刚起步, 现在还不得不进口一些国外的安全产品, 要格外注意可能存在的安全隐患, 进行必要的安全检查。2. 4. 6 信息系统软硬功能和数据信息的备份安全管理具体包括:关键或易损的设备、部件或元器件; 操作系统; 数据库、数据信息; 备用密码技术、产品; 重要的软件功能; 审计记录的安全保护; 应急措施、手段或者冷、热备份等安全维护管理。2. 4. 7 成立安全监控中心
是指涉及信息开发、信息传播、信息管理和信息利用等方面的伦理要求、伦理准则、伦理规约等。特别对于信息技
术的专业人员, 必须进行相应的计算机安全课程和职业道德的培训, 要让他们认识到自己有义务尽其所能地加强安全防护, 更不能因个人原因而人为地对系统进行破坏; 要让员工认识到企业团体是我们生活的大家庭, 维护基本的道德秩序、禁止不道德的信息行为是每个人的神圣职责; 要形成必要的道德自律, 履行信息义务, 讲究网络礼仪。再次, 加强对信息安全行为的道德监察和监督。企业内部应加强举报机制, 制止任何已有的和潜在的不良行为。事态较轻者提出警告和批评, 严重者就要送交公安部门处理。
对可能影响系统安全的内外因素进行监控、检测和跟踪, 并根据安全策略进行及时响应, 对系统运行状况进行调整, 以保证与系统安全目标相一致。同时, 监控中心还有必要定期地提供有关系统的安全状态、安全漏洞、安全建议的报告。
2. 4. 8 考虑日常安全需要
注意系统设备的防火、防盗、防爆、防水、防震甚至防电磁等需要。2. 4. 9 人事安全管理
人事安全管理的核心是建立一套计算机操作人员和管理人员严格选拔、明确职责、相互制约的工作制度。对于处理机密信息的系统, 所有接触人员, 都必须按机要人员的标准进行审查。应当明确规定其需要承担的保密义务和相关责任, 要求作出规范、严肃的正式承诺; 对于关键岗位的人选, 如系统分析员, 不仅要有严格的政审, 还要考虑其现实表现、工作态度、道德修养和业务能力等方面, 尽可能保证这部分人员安全可靠; 对调离人员, 特别是在
3 运用P3R2AME 模型时应该注意的几个问题3. 1 信息安全建设需要人、体制、技术三要素的结合
模型中的各个步骤和要素环环相扣, 密不可分。人是基础, 安全建设需要领导和员工的科学认识和行动; 技术是工具, 是高含量的成果; 但是技术必须要人通过体制去实现和操作, 才能发挥最大效用。中小企业不但要大力引入高技术, 还要建立起科学的安全体制, 最重要的是引进和培养信息安全人才。
3. 2 信息安全建设是动态的
道高一尺, 魔高一丈, 任何时候我们都不能说“信息系统绝对安全”。安全设施的敏感性、竞争性及对抗性非常剧烈, 企业内外的各种因素也是瞬息万变, 所以组织内部要不断地检查、分析安全状况的变化, 调整安全策略, 适应其发展变化。
3. 3 信息安全建设过程要注重经济性
毕竟是中小企业, 单个购买力相对较弱, 资金有限。体制建设要力求精简, 重点突出; 特别是安全产品价格不菲, 可以只选择最需要的方面, 但是不要购买盗版产品来以次充好。同时可以考虑一些原始的安全措施来进行防御, 如内部计算机不上网等。
企不情愿的情况下被调走的人员, 必须向其申明调离后的保业密义务, 收回所有相关证件物品, 系统必须更换口令和机情要锁。在调离决定通知本人的同时, 必须立即或预先进行报
工上述工作, 不能拖延。作2. 5 实时监测(M )
无论信息系统防护得多么牢固, 依旧不能说“系统是
安全的”。任何防护措施都不能保证不出现新的安全事件, 不被手段高超的人员成功入侵, 必须选择安全监测工具对信息系统进行实时安全性监测, 及时发现并修正存在的弱点和安全漏洞。实时监测中, 入侵检测系统是目前广泛运用的一种技术和管理手段。
3. 4 运用时要因不同企业而异
即使都属中小企业, 也存在行业、规模、安全要求等的不同。在实施该方案时, 应根据自己企业的特点进行适当调整, 确定适合本企业的安全体制、安全技术和人员配备。
参考文献
[1]H öne , Karin ; Eloff , J . H . P . Information security policy —what do international information security standards say ? Computers and Security Volume :21, Issue :5, October 1, 2002, pp . 402—409.
[2]Van der Haar , Helen ; von Sol ms , Rossouw . A model for deriving in formation security control attribute profiles . Computers and Security Volu me :22, Issue :3, April , 2003, pp . 233—244.
[3]冯长根, 刘振翼. 信息安全的现状与若干进展[J ]. 安全与环境学报, 2003. 2, 3, (1) .
[4]王毅刚. 信息安全管理标准BS 7799-2:2002介绍[J ]. 中国标准化, 2003. 5.
2. 6 实时响应(R ) 和恢复(R )
实时响应是指发生安全事故后的紧急处理程序, 恢复是将损失的系统复原到事故发生以前的状态。首先要有由技术人员组成的响应和恢复小组, 一旦事发便可投入工作; 其次常备一些重要的安全管理工具, 如清病毒软件、硬件, 专用的软件诊断、检测、维修工具, 专用的仪器、设备等。
2. 7 教育(E )
科学的安全建设不仅包括技术、体制的硬防护措施, 还包含对人的教育的软防护措施。首先, 加强宣传工作和安全教育, 让员工认识到安全威胁无处不在, 明确影响安全的各种因素。其次, 加强信息伦理建设。所谓信息伦理,