1.安全威脅

　　傳統(tǒng)概念中，企業(yè)信息系統(tǒng)安全威脅似乎就是黑客入侵等導致信息資產(chǎn)損壞的行為。事實上，在企業(yè)信息安全體系中，信息安全及其關(guān)聯(lián)的信息資產(chǎn)有著更為廣泛和科學的范圍。造成企業(yè)威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動機，人為因素又可分為惡意和非惡意兩種。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的或蓄意的事件。

表1 企業(yè)信息安全考慮威脅的來源

　　根據(jù)以上威脅的表現(xiàn)形式，對這些威脅進行進一步的分類和分析，見表2。

表2 信息安全分析

　　2.信息安全體系內(nèi)容

　　企業(yè)從網(wǎng)絡建立發(fā)展以來，針對這些威脅因素，結(jié)合企業(yè)的實際情況，從業(yè)務驅(qū)動的角度出發(fā)，制定信息安全體系框架，在物理層、網(wǎng)絡層、系統(tǒng)層、應用(數(shù)據(jù))層、管理層上實現(xiàn)信息安全管理，實施信息系統(tǒng)安全等級保護，逐步構(gòu)建企業(yè)的信息安全體系，并以框架為指導，對企業(yè)未來信息安全的各個平臺進行設(shè)計和實施。

　　物理安全包括機房環(huán)境管理、核心安全部件物理防護、物理安全域的設(shè)置、雙網(wǎng)隔離設(shè)備設(shè)置、監(jiān)視系統(tǒng)等：

　　網(wǎng)絡安全包括VLAN劃分、防火墻、安全網(wǎng)關(guān)、VPN申請、因特網(wǎng)申請、IP管理、網(wǎng)絡訪問記錄、移動設(shè)備安全、入侵防范、邊界安全、網(wǎng)絡設(shè)備等。系統(tǒng)安全包括操作系統(tǒng)安全、系統(tǒng)安全審計、角色管理、身份認證、系統(tǒng)日志審計、SEP、系統(tǒng)冗余/備份/容災、終端安全(包括帳號策略、補丁安裝、病毒防護、端口使用、共享、非法外聯(lián)等內(nèi)容)、服務器管理(帳戶口令、認證授權(quán)、日志審計、協(xié)議安全、系統(tǒng)服務、數(shù)據(jù)保護等)、域用戶管理、單機用戶管理、漏洞掃描、VRV等。

　　數(shù)據(jù)安全包括數(shù)據(jù)完整性控制、數(shù)據(jù)備份、數(shù)據(jù)庫系統(tǒng)管理、數(shù)據(jù)表管理、數(shù)據(jù)庫用戶、油田生產(chǎn)數(shù)據(jù)訪問管理、油田開發(fā)數(shù)據(jù)管理、數(shù)據(jù)審計、數(shù)據(jù)導出管理等。應用安全包括應用授權(quán)、網(wǎng)頁防篡改、應用系統(tǒng)開發(fā)、應用系統(tǒng)部署申請、應用系統(tǒng)維護、人員、崗位變動后信息變更管理流程、應用系統(tǒng)賬戶管理、網(wǎng)頁信息訪問權(quán)限管理、項目歸檔管理、文檔權(quán)限管理、文檔外發(fā)控制、文檔備份、門戶發(fā)布信息流程管理、調(diào)度接收信息管理等。

　　管理安全包括稽核與監(jiān)管、安全管理規(guī)范(人員、機構(gòu)、設(shè)施、環(huán)境、操作、開發(fā))、最小特權(quán)、分權(quán)制約機制、密級的劃分(國家秘密/專有信息)和等級選擇、口令、證書、密鑰的安全管理、內(nèi)控管理等。對于每一項安全項目內(nèi)容，結(jié)合實際情況，制定一個可操作的安全管理內(nèi)容。如對計算機病毒管理，要求計算機發(fā)生病毒感染的時候，計算機操作人員要馬上停止所有操作，不要向外部發(fā)送任何數(shù)據(jù)，以免病毒的傳播，并通知安全管理員；在感染病毒的計算機上運行殺毒軟件，全面檢查計算機系統(tǒng)，將病毒徹底清除；如果是服務器發(fā)生了病毒感染，應立即停止服務器所運行的所有程序和相關(guān)服務，防止病毒進一步擴散，并通知系統(tǒng)維護人員和安全管理員；在服務器端運行殺毒軟件，全面檢查計算機系統(tǒng)，清除病毒；在服務器查殺病毒的同時，所有服務器管理的計算機都要進行病毒查殺；如需要，啟動備份服務器，同時，將原有服務器與網(wǎng)絡徹底斷絕物理聯(lián)系；如果病毒將系統(tǒng)破壞，導致系統(tǒng)無法恢復，應將感染病毒的計算機上的重要數(shù)據(jù)備份到其他存儲介質(zhì)，確保計算機內(nèi)重要的數(shù)據(jù)不會丟失；對備份的數(shù)據(jù)也要進行病毒檢測，防止病毒再次感染其他計算機。同時要將病毒感染情況、發(fā)作現(xiàn)象、處理結(jié)果進行記錄，找到引起該病毒爆發(fā)的原因。

　　3.安全評估

　　安全評估就是評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅利用后所產(chǎn)生的實際負面影響或安全事件，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來準確識別安全風險。雖然建立了信息安全體系，但是必須通過安全評估，才能較為準確地了解自身的網(wǎng)絡、應用系統(tǒng)以及管理制度方面的安全現(xiàn)狀，針對存在的問題進行整改，使信息安全水平得到進一步提高，形成科學有序的監(jiān)管體系。

　　信息安全評估的具體內(nèi)容如下：一是管理制度的評估，包括機房管理制度、文檔設(shè)備管理制度、管理人員培訓制度、系統(tǒng)使用管理制度等。二是物理安全的評估，物理安全是信息系統(tǒng)安全的基礎(chǔ)，一般包括場地安全、機房環(huán)境、災難預防與恢復措施等幾方面。三是計算機系統(tǒng)安全評估，指操作系統(tǒng)和數(shù)據(jù)的安全，主要有操作系統(tǒng)漏洞檢測、系統(tǒng)存儲環(huán)境中的數(shù)據(jù)安全、數(shù)據(jù)庫的數(shù)據(jù)安全、應用系統(tǒng)的數(shù)據(jù)訪問安全。四是網(wǎng)絡與通信安全的評估，網(wǎng)絡與通信的安全性在很大程度上決定著整個網(wǎng)絡系統(tǒng)的安全性，評估的主要內(nèi)容有網(wǎng)絡基礎(chǔ)設(shè)施、整體網(wǎng)絡系統(tǒng)平臺安全綜合測試、模擬人侵、設(shè)置身份鑒別機制。五是日志與統(tǒng)計安全的評估，日志、統(tǒng)計的完整、詳細是管理人員及時發(fā)現(xiàn)、解決問題的保證。六是安全保障措施的評估，安全保障措施是根據(jù)以上各個層次安全保障的要求，用戶以網(wǎng)絡、系統(tǒng)的特點、實際條件和管理要求為依據(jù)，建立各種安全管理制度。需要請專業(yè)的評估人員對企業(yè)的信息安全現(xiàn)狀進行評估，通過評估發(fā)現(xiàn)信息系統(tǒng)中存在的安全隱患，可以準確制定安全策略及安全解決方案，從而指導單位信息系統(tǒng)安全的建設(shè)。

　　企業(yè)內(nèi)信息系統(tǒng)的安全風險信息是動態(tài)變化的，只有動態(tài)的信息安全評估才能發(fā)現(xiàn)和跟蹤最新的安全風險。所以信息安全評估是一個長期持續(xù)的工作，通常應該每隔l一3年就進行一次安全風險評估。

　　4.結(jié)論

　　在信息安全體系中，技術(shù)是工具，組織是運作，管理是指導，它們緊密配合，共同實現(xiàn)信息安全的目標。目前企業(yè)的信息安全體系建設(shè)正處于完善階段，雖然已經(jīng)開展了一系列工作，但在基礎(chǔ)設(shè)施安全建設(shè)、專業(yè)安全技術(shù)平臺建設(shè)、應用系統(tǒng)安全建設(shè)、管理組織完善、制度與標準健全等方面仍有不足之處，企業(yè)戰(zhàn)略、安全標準、作業(yè)流程、安全組織、規(guī)范制度、甚至安全工具與實施手段都是企業(yè)實現(xiàn)信息安全建設(shè)目標的必要因素，我們需要結(jié)合實際情況，逐步完善企業(yè)的信息安全體系。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領(lǐng)域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標題：建立企業(yè)網(wǎng)絡安全管理體系探討

本文網(wǎng)址：http://www.oesoe.com/html/support/11121513428.html