引言

　　隨著信息技術(shù)的迅猛發(fā)展，為了確保企業(yè)經(jīng)營戰(zhàn)略的實現(xiàn)和滿足業(yè)務快速發(fā)展的需要，越來越多的企業(yè)在運行各個環(huán)節(jié)中運用了信息技術(shù)。信息技術(shù)確實加速了企業(yè)的發(fā)展，同時這些企業(yè)也面臨著來自各個方面的信息安全威脅，包括系統(tǒng)安全漏洞、DDoS(Distributed Denial of Service分布式拒絕服務)攻擊、非法入侵、病毒感染、通信故障等，保護客戶和企業(yè)自身信息資產(chǎn)的保密性、完整性和可用性對提升服務水平和競爭力具有重要作用，因此建立全面可靠的信息安全管理體系是非常有必要的。

1 信息安全管理現(xiàn)狀

　　隨著信息化社會的來臨，信息資源對社會發(fā)展的重要程度越來越大。從人們?nèi)粘Ｉ�活、組織運作到國家管理，信息資源都是必不可少的重要資源，現(xiàn)代社會的生存和發(fā)展，都需要各種信息的支持。但是信息在社會中發(fā)揮越來越重要的作用的同時，與之而來的信息安全問題也變得日益突出，需要加以安全保護。

　　目前，許多標準化組織都提出了各自的信息安全管理的體系標準和控制模型，這些基于業(yè)務、技術(shù)與管理層面的標準在某些行業(yè)得到了很好的應用，并且信息安全管理工作也逐步納入公司的日程中，但是這項工作目前仍存在不少的問題，信息安全管理現(xiàn)狀依舊比較混亂，主要表現(xiàn)為以下幾方面：

　　由于缺乏權(quán)威、統(tǒng)一、專門的立法管理機構(gòu)對國內(nèi)信息安全管理進行組織、規(guī)劃、管理和實施協(xié)調(diào)，導致我國現(xiàn)有的一些信息安全管理沒有來自法律的推動力和約束；

　　在IT系統(tǒng)建設過程中信息安全管理并沒有得到充分考慮，導致后期管理工作和安全建設比較被動，同時造成信息安全管理建設與業(yè)務的發(fā)展及IT的建設不對稱；

　　安全管理缺乏系統(tǒng)管理的思想。被動應付多于主動防御，沒有做前期的預防，而是出現(xiàn)問題才去想補救的方法，缺乏科學的、全面的、動態(tài)的安全管理方法；

　　重視安全技術(shù)，忽略安全管理。企業(yè)多在防火墻、網(wǎng)路、主機及應用系統(tǒng)開發(fā)等安全技術(shù)上投資，而相應的管理水平、手段沒有體現(xiàn)；

　　在安全管理中不夠重視人的因素，缺乏懂得管理的信息安全技術(shù)人員；

　　企業(yè)安全意識薄弱，因為信息安全管理不僅僅需要CIO或CFO的參與，企業(yè)各層領(lǐng)導和員工的重視與參與也是必不可少的。

2 各項威脅對企業(yè)信息安全的影響

　　企業(yè)信息安全有太多的因素需要關(guān)心：自然災害、黑客攻擊、計算機病毒以及企業(yè)內(nèi)部信息泄露。2011年大量信息安全事件中，索尼的數(shù)據(jù)泄漏是其中備受矚目的一個，索尼的PlayStation網(wǎng)絡于4月20日關(guān)閉，同時取證組開始調(diào)查索尼數(shù)據(jù)泄漏的范圍。截止到5月2日，該泄漏事件影響了大約1億人，索尼公司已經(jīng)花費1.71億美元處理其數(shù)據(jù)泄漏所帶來的后果。一項調(diào)查顯示，中國內(nèi)地企業(yè)在改善信息安全機制上仍有待努力，從近年安全事件結(jié)果看，中國每年大約98萬美元的財務損失，此外，42％的中國內(nèi)地受訪企業(yè)經(jīng)歷了應用軟件、系統(tǒng)和網(wǎng)絡的安全事件，信息安全給企業(yè)造成了巨大的損失。而目前企業(yè)面臨的主要威脅有以下幾種。

　　2.1 自然災害

　　由于近年來自然災害的多發(fā)，給計算機系統(tǒng)造成了一些不可挽回的破壞而引發(fā)了許多信息安全問題，但相對于其他因素來說，自然災害對信息安全的威脅算最小的，并且自然災害的威脅只可盡量減小而不可避免。

　　2.2 黑客與病毒

　　隨著計算機技術(shù)的發(fā)展，黑客的破壞力也日益擴大化，黑客傻瓜式工具的大量出現(xiàn)和黑客組織的形成導致的直接后果就是黑客技術(shù)的普及，網(wǎng)絡上隨便搜索一下，就能找到一大堆黑客技術(shù)交流網(wǎng)站。這些黑客站點提供黑客工具、公布系統(tǒng)漏洞、公開傳授黑客技術(shù)、進行黑客教學，甚至還有黑客組織通過論壇形式相互交流黑客技術(shù)經(jīng)驗、協(xié)調(diào)黑客行動等。黑客事件的劇增、黑客組織規(guī)模的擴大、黑客站點的大量涌現(xiàn)，說明了黑客技術(shù)開始普及，同時黑客攻擊對于信息安全的威脅也越來越大。僅在美國，黑客攻擊每年造成的經(jīng)濟損失就超過100億美元，可想而知，對于安全剛起步的中國破壞的影響程度有多大了。

　　而計算機病毒(惡意軟件)的使用是黑客攻擊常用的手段之一，計算機病毒的傳播不僅可以破壞計算機信息系統(tǒng)，還可以盜取各種秘密信息，嚴重危害著當今社會的信息安全。根據(jù)安全供營商McAfee(邁克菲)新發(fā)布的數(shù)據(jù)顯示，2010年前半年是McAfee進行惡意軟件保護更新的最活躍的六個月，在第二季度報告中，惡意軟件數(shù)目達到了最高，發(fā)現(xiàn)了一千多萬個新的惡意軟件，而第一季度發(fā)現(xiàn)的惡意軟件數(shù)只有一百萬。如果企業(yè)對自己的信息進行嚴密的監(jiān)控，惡意軟件可能會悄悄地潛伏進企業(yè)核心計算機，直到兒周或幾個月后才發(fā)現(xiàn)企業(yè)的信息已經(jīng)被盜走了，企業(yè)的損失將是無法估量的。

　　2.3 移動設備的漏洞

　　據(jù)3M委托進行的《2010年可視數(shù)據(jù)泄漏風險評估研究》報告指出，多于70％的公司仍然沒有制定明確的政策來控制員工在公共場所工作時可以使用哪些設備連接網(wǎng)絡。而經(jīng)常出差的員工需要通過公司外部設備能夠隨時隨地的通過Internet接入公司的網(wǎng)絡，從而對公司的信息安全提出了一系列的挑戰(zhàn)，員工的筆記本電腦和U盤需要使用2種以上的安全控制手段來實現(xiàn)綜合加密，同時企業(yè)需要部署和強制執(zhí)行嚴格的移動辦公安全策略。

　　另外，硬件技術(shù)的發(fā)展使得移動介質(zhì)有能力將海量數(shù)據(jù)存儲到一個便攜設備中，并且這些移動設備時常被帶出公司。所以IT安全策略應當要求任何通過USB接口移動的數(shù)據(jù)或使用類似方式來建立連接的介質(zhì)都必須在加密的基礎上進行。而且這些介質(zhì)類型絕不可以被用來做任何數(shù)據(jù)的單獨拷貝，特別是重要任務或者企業(yè)機密，并嚴格限制它們用于臨時性的數(shù)據(jù)傳輸。

　　2.4 對科技過于依賴

　　許多領(lǐng)導認為裝好了頂級殺毒軟件或者最新的防火墻，他們的系統(tǒng)安全就有保障了。但實際上，如果防火墻沒有正確配置，防病毒軟件也沒有進行更新和升級，有跟沒有是一樣。

　　在特定環(huán)境下正確設置防火墻需要很高的技巧。它不是一項設置完就可以丟到腦后的工作，它要比安裝殺病毒軟件清除惡意軟件復雜得多。防火墻需要經(jīng)常調(diào)整以滿足最新的要求，當一個新的端口掃描攻擊出現(xiàn)時，必須在幾周內(nèi)阻斷會受其影響的那些端口，了解最容易被攻擊的10個端口，把計算機安全組織SANS的網(wǎng)頁加入收藏夾。對于防病毒程序，不僅僅要及時升級，還必須要留意最新的彌補反病毒軟件自身缺陷的補丁。

　　反間諜軟件要比反病毒軟件簡單得多，所以很少需要打補丁。盡管如此，它們也要和反病毒軟件一樣要注意經(jīng)常下載最新的數(shù)據(jù)庫文件。最后，如果忽視安全檢測程序發(fā)出的報告，所有的安全裝置都會失去意義。

　　2.5 內(nèi)部威脅

　　前面所談論的威脅和危險均來自于外部網(wǎng)絡，但正如許多企業(yè)所了解的那樣，最難以防范的安全威脅來自于組織內(nèi)部。

　　將公司的整個內(nèi)部網(wǎng)絡按域劃分，實現(xiàn)部門級別的權(quán)限管理。每個部門內(nèi)的每個員工在文件服務器上都有互相獨立的存儲空間。但是如果部門內(nèi)的員工可以讀、更改、刪除另一個業(yè)務員在文件服務器中文件夾里面的資料，那么威脅同樣存在。所以訪問權(quán)限的設置應該體現(xiàn)實際的安全需求：部門之間禁止互相訪問，同時對訪問權(quán)限加以嚴格控制，每個訪問者進行的操作及其操作對象都應該記錄下來。

3 基于生命周期分析信息安全管理體系

　　為了保障企業(yè)的信息安全，就需要建立可靠的信息安全管理體系。而技術(shù)是不斷發(fā)展的，并且機構(gòu)的業(yè)務也經(jīng)常會發(fā)生變化，因此為保障信息安全所使用的管理制度和技術(shù)措施也必須發(fā)生相應的調(diào)整和變化�，F(xiàn)在關(guān)于信息安全建設已經(jīng)達成一個共識：它是一個動態(tài)的、整體的、持續(xù)性的過程，企業(yè)不僅要進行安全建設，而且要根據(jù)技術(shù)的發(fā)展和業(yè)務的變更不斷地進行評估，并在此基礎上對已有的安全措施和設施進行調(diào)整、完善。

　　根據(jù)對目前信息安全管理體系的調(diào)查研究，一般信息安全建設和管理的生命周期分為四個階段：調(diào)研策劃，風險評估，設計實施，運行改進。因此，將企業(yè)的業(yè)務特點與信息安全建設管理的生命周期中的每個環(huán)節(jié)緊密結(jié)合起來，才能構(gòu)建適合企業(yè)的信息安全管理體系。

　　3.1 調(diào)研策劃

　　對企業(yè)所處的環(huán)境進行調(diào)研是建設信息安全管理體系必不可少的工作，它是策劃的依據(jù)。在這部分工作中，需要深入調(diào)查分析企業(yè)所處的國內(nèi)外宏觀環(huán)境、行業(yè)環(huán)境、企業(yè)所具有的優(yōu)勢與劣勢、面臨的發(fā)展機遇與威脅等。同時分析企業(yè)戰(zhàn)略目標，理解企業(yè)發(fā)展戰(zhàn)略在產(chǎn)業(yè)結(jié)構(gòu)、核心競爭力、產(chǎn)品結(jié)構(gòu)、組織結(jié)構(gòu)、市場和企業(yè)文化等方面的定位。在此基礎上，通過分析明確上述各要素與信息技術(shù)特點之間的潛在關(guān)系，從而確定信息技術(shù)應用的驅(qū)動因素，使信息安全管理與企業(yè)戰(zhàn)略目標實現(xiàn)融合。

　　由于安全是相對的，安全技術(shù)也是不斷發(fā)展進步的，因此企業(yè)應有一個合理和明確的安全要求使得公司有章可循，而且這些要求最終要體現(xiàn)在安全策略當中。衡量一個信息安全策略的首要標準就是現(xiàn)實可行性。因此信息安全策略與現(xiàn)實業(yè)務狀態(tài)的關(guān)系是：信息安全策略既要符合現(xiàn)實的業(yè)務狀態(tài)，又要能滿足未來一段時間的業(yè)務發(fā)展要求。因此，企業(yè)根據(jù)自己的安全要求和實際情況，合理地制定安全策略是信息安全管理建設的基礎。

　　3.2 風險評估

　　根據(jù)有關(guān)信息安全技術(shù)與管理標準，對企業(yè)內(nèi)以信息資產(chǎn)進行資產(chǎn)識別，其中信息資產(chǎn)包括：信息、人員、軟件和硬件以及系統(tǒng)的運行狀況與安全措施。

　　針對各個資產(chǎn)，對其進行重要性評估時，將考慮資產(chǎn)在失去機密性、完整性和可用性等安全屬性對企業(yè)造成的危害，并評估該信息資產(chǎn)所面臨的威脅及其發(fā)生安全事件的可能性，并結(jié)合如果發(fā)生安全事件后所涉及的各方面損失來判斷安全事件可能對企業(yè)造成的影響。簡而言之，就是風險計算，計算公式如下：

　　風險級別(R)=資產(chǎn)重要性(V)*風險發(fā)生可能性(L)

　　目前，實際工作中常使用的風險評估途徑包括基線評估、詳細評估和組合評估三種。而在風險評估過程中又有許多操作方法，如基于知識的分析方法、基于模型的分析方法、定性分析和定量分析等。無論采用哪種途徑和操作方法，共同的目的都是得到三個最主要的分析結(jié)果：資產(chǎn)保護等級分類、安全事件防護等級分類以及目前安全水平與企業(yè)安全需求間的差距。

　　3.3 設計實施

　　在完成風險評估后，要在第一階段制定的安全策略的指導下，并根據(jù)風險評估的結(jié)果設計詳細的信息安全保護實施方案。

　　首先，從整體和全局的角度規(guī)劃和建立一個合理的信息安全管理框架。從企業(yè)信息系統(tǒng)本身出發(fā)，對企業(yè)信息安全的不同層面進行整體安全分析，根據(jù)企業(yè)業(yè)務特征、組織形式、信息資產(chǎn)狀況和技術(shù)條件，建立信息資產(chǎn)清單，進行安全需求分析和需要的安全控制級別，從而提出相應的安全解決方案。

　　安全解決方案的提出過程就是編寫一套信息安全管理體系文件，應包含以下文檔：安全方針文檔、適用范圍文檔、風險評估文檔、實施與控制文檔、適用性聲明文檔等。這些文件的編寫是建立信息安全管理體系的重要基礎，也是一個企業(yè)實現(xiàn)風險控制和持續(xù)改進管理體系必不可少的依據(jù)。

　　3.4 運行改進

　　企業(yè)應按照編制的信息安全管理體系文件要求進行審核和批準并發(fā)布實施后，至此信息安全管理體系進入運行階段。在此期間，企業(yè)應充分發(fā)揮管理體系本身的各項功能，及時找出管理體系中存在的問題，并采取糾正措施，按照更改要求對管理體系加以更改，以達到持續(xù)完善信息安全管理體系的目的。

　　信息安全管理體系的建立與實施，能從根本上強化員工的安全意識，規(guī)范信息安全行為，可以有效的降低和避免企業(yè)的信息資產(chǎn)安全風險，增強了企業(yè)的競爭優(yōu)勢。而且管理體系是在動態(tài)的技術(shù)環(huán)境中進行的，以預防為主的方式使企業(yè)以最低的成本支出達到可接受的信息安全水平。因此，建立完整的信息安全管理體系是為企業(yè)發(fā)展提供可靠的保障。

4 結(jié)束語

　　企業(yè)應以戰(zhàn)略目標為指導，以風險管理為核心，以技術(shù)手段為支撐，嚴格按照以上四個階段構(gòu)建一套完善的信息安全管理體系，保障企業(yè)信息資產(chǎn)的安全。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：基于生命周期分析信息安全管理體系

本文網(wǎng)址：http://www.oesoe.com/html/consultation/1083953768.html