引言

　　隨著信息技術的迅猛發(fā)展，信息系統(tǒng)被企業(yè)的廣泛應用，信息及信息系統(tǒng)對汽車制造企業(yè)來說，不僅只意味著財富和實力，而且已經成為企業(yè)的重要戰(zhàn)略資源及賴以生存的血液，對企業(yè)的生存、發(fā)展起著至關重要的作用。十七大胡總書記報告中提出：全面認識工業(yè)化、信息化、城鎮(zhèn)化、市場化、國際化、深入發(fā)展新形勢、新任務，要大力推進信息化和工業(yè)化的融合。信息化是當今世界制造業(yè)發(fā)展的趨勢，更是中國汽車制造業(yè)實現跨越發(fā)展的重要機遇。同時，隨著企業(yè)信息化廣泛深入應用，信息安全問題也日益突出且越來越關系企業(yè)的命運，在信息安全領域，很多企業(yè)在內網安全方面雖然有信息安全相關產品的部署，但都缺乏統(tǒng)一的安全策略，上下級網絡間也缺乏很好的聯動管理與維護，客戶端漏洞補丁的下載與執(zhí)行無法統(tǒng)一，病毒庫及補丁升級更新不及時、不準確、不共享，內網病毒及木馬等威脅比較多，雖然有防病毒軟件，但是無法定位，組織機構不合理，安全監(jiān)管措施缺失，管理手段落后等，都成為制約企業(yè)信息化發(fā)展的重要問題。

　　大量的信息安全事件，已經使人們逐步明白：不是任何的信息安全問題都可以通過技術手段解決的。即便有了技術手段，如果沒有管理，也不能真正發(fā)揮出技術手段應有的功效。信息安全保障包括技術和管理兩個層面，就技術和管理所起的作用而言，管理的比重甚至要大于技術。再先進的技術手段，離開科學合理的管理也不能發(fā)揮全部的作用。信息管理就是把分散的信息安全技術因素、人的因素，通過政策規(guī)則協調整合成為一體，服務于企業(yè)信息化使命的安全目標。因此，參照國際先進的信息安全管理實踐經驗，結合企業(yè)的實際情況以及國家信息安全等級保護要求，以及風險評估等要求建立一套符合國際標準要求的信息安全保障管理體系(Information Security Assurance Management Systems，ISAMS)，將有效地從管理、技術、運維等方面提高企業(yè)的總體信息安全水平，保障企業(yè)的業(yè)務持續(xù)運行，保護企業(yè)的核心競爭力。對于任何企業(yè)，采用ISAMS將是一項重要的戰(zhàn)略性決策，企業(yè)信息化體系結構最重要是信息安全保障，如果沒有信息安全保障，企業(yè)的信息化就很難健康地發(fā)展。

一 信息安全保障管理基礎

　　企業(yè)信息安全保障管理指的是通過管理和保護企業(yè)所有的信息系統(tǒng)，包括制定信息安全方針策略、風險評估與管理、控制目標及控制手段的選擇與實施、制定規(guī)范的操作流程、對員工進行安全培訓等一系列工作，來維護企業(yè)信息系統(tǒng)的機密性、完整性及可用性等的一項體制。通過在信息安全策略(包含信息安全方針)、信息安全組織、信息資產分類與管控、核心人員信息安全、物理與環(huán)境包括邊界安全、通信操作安全、信息安全訪問控制、信息系統(tǒng)獲取開發(fā)與維護、業(yè)務持續(xù)性管理、信息安全法律法規(guī)符合性等十幾個領域內建立管理控制措施，來為企業(yè)建立起一張完備的信息安全“保護網”，保證企業(yè)信息資產的安全與業(yè)務的連續(xù)性。

　　企業(yè)信息安全保障管理是一個多層面、多因素的、綜合的、動態(tài)的系統(tǒng)工程，它需要企業(yè)對信息系統(tǒng)的各個環(huán)節(jié)進行全面統(tǒng)一的考慮、規(guī)劃、設計和架構，并要時時兼顧組織內外不斷發(fā)生的業(yè)務情況，任何環(huán)節(jié)上的信息安全脆弱點都會對系統(tǒng)構成風險。企業(yè)的信息安全保障管理水平由與信息安全相關環(huán)節(jié)中的最薄弱環(huán)節(jié)決定。信息從產生到銷毀的生命周期過程中還包括了收集、加工、交換、存儲、檢索、存檔等多個事件，表現形式和載體會發(fā)生各種變化，這些環(huán)節(jié)中的任何一個環(huán)節(jié)出現問題都可能影響整體信息安全水平。另外，如果企業(yè)憑著一時的需要，想當然地去制定一些控制措施和引入幾項技術產品，就難免使得信息安全這只“木桶” 出現若干“短板” ，從而無法整體提高信息安全保障管理水平。建立全面的信息安全保障管理體系是避免上述問題的有效手段。

二 企業(yè)信息安全保障管理目標與原則

　　企業(yè)在建立信息安全保障管理體系前首先要確定其目標與原則，企業(yè)信息安全管理通常強調所謂CIA三元組的目標，即保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)，這是信息安全的基本要素和安全建設所應遵循的基本原則。

　　對汽車制造企業(yè)來說，信息安全CIA的3個方面都應該是比較重要的，一方面，公司內部牽涉到核心技術、知識產權、隱私保護的信息資產，其保密性要求會比較高，另一方面，由于關系到各項應用和業(yè)務系統(tǒng)的持續(xù)有效運營，支持這些應用和業(yè)務系統(tǒng)的信息系統(tǒng)則必須保證可用性和完整性。對CIA的追求只是企業(yè)信息安全管理的直接目標，對于汽車制造企業(yè)，其實最終關心的是其關鍵業(yè)務活動的持續(xù)性和有效性，而各項關鍵業(yè)務活動的運轉，又依賴于信息系統(tǒng)的支持，所以，企業(yè)業(yè)務持續(xù)性及企業(yè)的生存發(fā)展目標，才是企業(yè)信息安全保障管理的最終目標。

　　講科學管理，常常提出若干管理原則，講信息安全管理同樣也不例外，但是，一旦執(zhí)行起來，原則往往變成了“圓則” ，無處下手，難于考核，流于形式，成為口號。

　　如何將信息安全管理原則不變成“圓則” ，變成看得見，抓得住的現實，需要通過抓好如下幾個方面來加以實現：

　　1)信息安全管理責任明確

　　管理是需要通過人來實施的。信息安全保障管理不是一個人的事情，要人人有事做，事事有人做，企業(yè)需要建立人與事的匹配關系，用角色和責任把這種關系明確起來，固定下來，以便備忘、查考、賞罰。同時，管理者還必須給予明確的支持和承諾。

　　2)信息安全保障管理“有規(guī)可依”

　　信息安全保障管理是一個動態(tài)的過程，需要通過建立符合規(guī)范的流程來體現這個過程。流程必須規(guī)范，使不同時間、不同的人在實施同類事物的管理時，步調一致、效果最佳、可以比較。

　　3)信息安全保障管理流程“執(zhí)規(guī)必嚴”

　　賦有管理責任的角色，在實施信息安全管理時，決不能信馬游韁，隨意亂來。相關的法律、規(guī)章、制度是實施管理的依據，必須與其保持一致。

　　4)信息安全保障管理整體的協調一致

　　信息安全保障管理的整體是通過不同部門、不同人員管理的各個分項綜合來顯現其效果的。它們之間為了整體的管理要求，必須協調。協調的要求應該是事先共識達成的一致。為了協調，相互之間必須溝通，同時也要與企業(yè)的文化保持一致。

　　5)信息安全管理執(zhí)行應該有據可查

　　規(guī)定的管理行為必須執(zhí)行，執(zhí)行的管理活動應該有據可查。信息安全管理活動必須留有記錄、證據，以便查考管理的效果，改進完善管理行為。

　　6)信息安全保障管理的常態(tài)性

　　向所有管理者、員工和其他方提供適當的意識、培訓和教育，傳達有效的信息安全知識以使他們具備安全意識和素質。

　　7)信息安全保障管理需求明確

　　企業(yè)信息安全保障管理需求，一是從考慮企業(yè)整體業(yè)務戰(zhàn)略和目標的情況下，評估該組織的信息安全風險獲得。通過風險評估，識別出資產受到的威脅，評價易受威脅利用的脆弱性和威脅發(fā)生的可能性，估計潛在的影響。二是企業(yè)開發(fā)的支持其運行的信息處理的原則、目標和業(yè)務要求的特定集合。三是來源于組織、貿易伙伴、合同方和服務提供者必須滿足的法律、法規(guī)、規(guī)章和合同要求，以及他們的企業(yè)文化環(huán)境。

三 企業(yè)信息安全保障管理實施關鍵活動

　　在整個實施ISAMS的過程中，各階段都有一些關鍵的活動，這些活動是否能夠順利實施并且生成有效成果，將直接決定著信息安全體系建設最終的成敗。為此，本小節(jié)即對一些最關鍵的活動給予介紹，包括這些活動的意義、前后關聯、成果、最終收益、對企業(yè)的影響等。了解這些內容，將對整體上把握體系建設過程以及制定各類規(guī)劃大有幫助。

　　3.1 風險評估

　　風險評估 是實施信息安全管理保障體系重要的先決條件，是ISAMS建設準備階段最關鍵的一步�；�于風險評估，企業(yè)可以對當前的信息安全現狀有一個系統(tǒng)全面的分析，找出真正的不足，以此來確定自己在信息安全管理建設方面的需求。在實施風險評估活動時，企業(yè)應該在確定范圍內組建風險評估小組，并且由安全項目主管擔任組長，負責協調風險評估事宜。風險評估成員要參加必要的技能培訓，包括信息安全管理概要、風險評估方法等。

　　實施風險評估時，在管理評估的基礎上還要考慮借助專業(yè)人員的經驗和各種技術手段，探測并發(fā)掘客戶網絡信息系統(tǒng)中存在的各種安全威脅和漏洞，全面了解網絡信息系統(tǒng)的安全現狀，杜絕外部和內部違規(guī)利用網絡資源而引發(fā)安全事件的可能。內網信息安全已經被證明是在高度信息化的情況下所有汽車制造企業(yè)必須面對的問題。

　　技術評估可以針對以下系統(tǒng)：

　　1)典型的Windows、Unix操作系統(tǒng)服務器。

　　2)典型的數據庫應用系統(tǒng)。

　　3)典型的Web應用系統(tǒng)。

　　4)典型的網絡設備。

　　5)防火墻、IDS等典型的安全設備。

　　6)網絡拓撲及基礎設施。

　　企業(yè)專業(yè)人員采用強大的安全評估工具對客戶的網絡和主機系統(tǒng)進行安全漏洞評估。漏洞評估分階段按步驟進行，實施過程中采集到的大量信息，由專業(yè)技術人員進行分析甄別，最終給出評估報告，針對每一項發(fā)現的漏洞問題，按照不同的嚴重程度進行分級，并結合實際需求提出相應的漏洞修補建議。專業(yè)人員通過以下途徑實施安全評估：

　　1)通過研讀網絡拓撲圖、進行現場調查和人員訪談等途徑，對網絡整體架構的安全性進行分析和評估。

　　2)借助專用的自動化掃描工具，對網絡設備、主機系統(tǒng)、應用系統(tǒng)等進行漏洞掃描。

　　3)利用滲透測試技術，對值得關注的目標系統(tǒng)進行模擬入侵測試。

　　4)登錄到受測試主機本地，通過本地日志系統(tǒng)、配置文件、命令操作過程的審查，更深入細致地了解目標系統(tǒng)的安全狀況。

　　5)針對關鍵系統(tǒng)和設施，考察BCP框架的有效性和完備性。

　　3.2 基于TDA深度威脅發(fā)現與分析

　　威脅是構成安全風險不可缺少的要素之一，它是指可能導致對系統(tǒng)或組織損害的不期望事件發(fā)生的潛在原因，在信息安全領域可以將會潛在妨害安全并對信息系統(tǒng)造成破壞的環(huán)境或事件定義為系統(tǒng)的危險。威脅的起因可能是蓄意的，也可能是偶然或自然的。據國際權威調查，85％以上的安全事件出自內網，企業(yè)時刻面臨著諸如：APT和針對性攻擊、零日惡意軟件和文檔漏洞、Web威脅(漏洞、隱蔽強迫下載)、電子郵件威脅(網絡釣魚、魚叉式網絡釣魚)、特洛伊木馬、蠕蟲病毒、按鍵記錄軟件和犯罪軟件、破壞性應用程序等各種威脅。內網信息安全是一個廣泛的概念，包括了桌面管理、監(jiān)控審計、威脅發(fā)現與分析、授權管理和信息保密等內容，一個完整的內網信息安全體系，需要考慮計算機終端、用戶身份、計算機外設、應用系統(tǒng)、網絡、存儲和服務器等各方面的因素。高級持續(xù)性威脅和針對性攻擊已清楚地表明其抵御傳統(tǒng)安全防御、保持長期不被檢測到，以及隱蔽泄露公司數據和知識產權的能力。隨著新型IT技術的應用(例如云計算技術等)，進一步加劇了這些攻擊的嚴重性，削弱了外圍安保的作用，從而使網絡更容易遭到攻擊。企業(yè)分析人員和專家已清楚地認識到這些問題，并建議企業(yè)加強其安全監(jiān)測及防御，采用專業(yè)的針對高級持續(xù)性威脅的檢測技術和前瞻性的實時威脅管理流程來進行威脅分析。

　　如今，高級持續(xù)性攻擊使用多階段方式來竊取重要數據：獲取入口點，下載其他惡意軟件，打開后門程序訪問，找到并危害目標系統(tǒng)，然后上傳數據。盡管筆記本電腦數據危害可快速發(fā)生，但從初始入侵到目標數據受到危害通常需要幾天或幾周的時間，實際發(fā)現并完全抑制危害所用的時間可能為幾個月。在此期間，企業(yè)網絡中潛伏著入侵者，其目的是持續(xù)危害重要數據。趨勢科技深度威脅發(fā)現設備TDA使用3個層面的檢測方案來執(zhí)行初始檢測，然后進行模擬和關聯，最后通過最終的交叉關聯發(fā)現隱蔽的高級持續(xù)性威脅活動，以及其他只有通過長期觀察才能發(fā)現的隱蔽活動，為企業(yè)和政府組織提供了降低高級持續(xù)性威脅攻擊(APT)和針對性攻擊風險所需的全網范圍的可見性、洞察力和控制。TDA以獨特方式實時檢測和虛擬模擬分析技術，提供防止、發(fā)現和抑制針對公司數據的攻擊所需的深入分析和行動情報。TDA通過對高級持續(xù)性威脅惡意軟件和隱蔽式攻擊者行為的檢測和深入分析，為企業(yè)和政府組織提供在不斷發(fā)展的網絡環(huán)境中檢測APT和針對性攻擊所需的可見性和情報。

　　3.3 風險處理

　　風險評估之后，明確了企業(yè)自身真正的安全需求，在制定并落實各項風險處理計劃時，首先要考慮的，是在整個公司范圍內建立有效的安全管理和執(zhí)行組織，落實人員的責任。具體來說，最終企業(yè)建立的信息安全管理組織應該設置以下關鍵角色，如圖1所示。

　　企業(yè)還應該根據風險評估的結果制定一系列風險處置計劃。計劃可以是分階段分層次的，從階段來講，通常分為短期、中期和長期計劃，或者從層次來講，通常分為事務實施計劃、策略計劃和戰(zhàn)略計劃。企業(yè)在制定信息安全計劃時應該優(yōu)先考慮與關鍵業(yè)務最緊密相關的信息系統(tǒng)環(huán)境，至于先做什么后做什么，只有根據風險評估得出風險等級之后，由決策者最終確定。不過，無論優(yōu)先順序如何考慮，企業(yè)都應該有計劃地實施以下事務：

　　1)編寫并完善企業(yè)信息安全策略文件，這是統(tǒng)領企業(yè)信息安全管理各項事務的總體綱領、指導方針和行動指南。務必做到信息安全管理“有法可依”和“有法必依”，并且盡量實現“執(zhí)法必嚴”和“違法必究”。

　　2)在人員組織方面應該做到：

　　①組建信息安全管理組織架構，設定人員責任；

　　②實施層次化和全方位的人員意識培訓，使每一個員工能夠自覺履行安全責任，使每一個系統(tǒng)管理和維護人員掌握應有的安全技能，使信息安全管理者有能力去行使信息安全管理職權。

　　3)在流程建設方面應該做到：

　　①加強內部審核。這要求企業(yè)建立內部審核流程和制度，明確責任人，制定審核計劃，定期對公司信息安全管理體系的運行情況進行審核，審核結果應該和人員考核掛鉤，發(fā)現問題及時改進，使遵守信息安全策略真正成為每一個員工的意識和習慣；

　　②建立BCP/DRP機制，包括應急響應，完善企業(yè)業(yè)務連續(xù)性管理框架；

　�、蹖�安全管理流程與IT服務管理流程結合，在變更管理、配置管理、問題管理等方面進行規(guī)范化。

　　4)在信息安全技術運用方面應該考慮：

　�、賹�IT基礎設施實施安全加固，從系統(tǒng)一級消減因為配置或者操作不當而造成的安全風險；

　�、诩訌姂�用系統(tǒng)的安全性，采取應用審計和分析等手段，對架構于基礎設施之上的各種應用系統(tǒng)進行安全加強；

　�、蹖�適合于采用技術措施來予以消減的風險，應該制定可行的解決方案(包括產品解決方案)，或者委托專業(yè)技術公司來提供并實施解決方案，方案的實施應該在相應的策略或程序指導下進行。

　　有了安全計劃，為了落實既定的目標，必須有針對性地設計解決方案，其中技術或產品解決方案就是很典型的例子。當然，這里需要澄清的是，信息安全體系建設并不能簡單地認為就是信息安全集成(產品集成)，因為信息安全管理更多牽涉到的可能還是非技術的東西，有時候，用管理手段去解決風險問題，往往比花費大的代價購買產品去應對要更加經濟有效。說到底，設計怎樣的解決方案，直接取決于企業(yè)真正的安全需求和管理決策。有了計劃，有了方案，剩下的事情就比較簡單了，只要管理層充分重視和支持，項目管理操作完善，及時總結和調整，實現既定的目標是很自然的事情。

　　3.4 文件編寫

　　有效的信息安全保障管理體系包括一套體系化的文件，這里講的文件，并非簡單的幾個電子文件或者紙質文件，它要充分體現信息安全保障管理有法可依、有據可查的狀態(tài)。信息安全保障管理文件，是指導并且追蹤所有信息安全保障管理事務所必備的工具。所以，風險評估之后，解決方案中包含的很重要的一項任務，就是制定并有針對性地完善信息安全管理文件體系。在文件編寫方面，企業(yè)應首先組建兩個編寫小組，一個是負責制定全公司范圍的安全策略(方針)文件，另一個是負責制定具體實施的策略文件。從層次上來看，企業(yè)要建立完整的文檔體系，通常由四級文件構成。

　　(1)綱領性文件

　　信息安全方針類文件，需要從公司整體角度來考慮制定，它應該能夠反映最高管理者對信息安全工作下達的旨意，應該能為所有下級文件的編寫指引方向。包含信息安全方針的信息安全管理手冊，由信息安全委員會負責制定、修改和審批，是對信息安全管理體系框架的整體描述，以此表明確定范圍內信息安全保障管理是按照既定目標要求建立并運行的。

　　(2)規(guī)章、程序性文件

　　程序文件應該是針對信息安全保障管理某方面工作的，是對信息安全方針內容的進一步落實，應該是不同部門都能適用的，通常包括(可能不限于此)：風險管理與風險評估程序、內部審核程序、管理評審程序、文件記錄控制管理程序、糾正預防控制管理程序、信息安全事件管理程序、信息設備管理程序、信息安全組織建設規(guī)定、第三方和外包管理規(guī)定、信息資產分類管理規(guī)定、人力資源管理程序、工作環(huán)境安全管理規(guī)定、介質處理與安全規(guī)定、系統(tǒng)開發(fā)與維護程序、變更管理程序、防病毒管理程序、信息交換管理程序、業(yè)務連續(xù)性管理程序、法律符合性管理規(guī)定。

　　(3)指南、操作性文件

　　具體的操作指導書涉及與具體部門特定工作或系統(tǒng)相關的具體作業(yè)規(guī)范(操作步驟和方法)，可以由各個單位自行制定，是對各個程序文件所規(guī)定的領域內工作的細化描述。

　　(4)記錄、證據性文件

　　各種記錄文件，包括實施各項流程的記錄和表格，應該成為信息安全保障管理執(zhí)行情況的有力證據，由各個相關部門自行維護。

　　3.5 汽車制造業(yè)信息安全保障管理審核

　　信息安全保障管理審核包含信息安全內部審核(通過所說的內審)與信息安全保障管理測量，其本質就是看其是否符合標準規(guī)范以及既定的策略要求，是否符合企業(yè)真實的安全需求，以及驗證企業(yè)信息安全保障管理體系控制措施的實施情況與實施有效性。參照信息安全管理標準的要求，在信息安全保障管理體系初步建立之后，企業(yè)應該借助安全審計等途徑，對ISMS的效力進行定期評審，以確定其是否符合既定的安全方針和目標，確定安全控制是否依然有效。安全審計可以由企業(yè)內部來完成(內部審核)，也可以由第三方機構來實施(外部審核)。內部審核通常包括管理和技術兩個方面：一方面，企業(yè)可以依據相關國際通行標準(如IS027001標準)或自身規(guī)范、既定的方針和程序等管理文件，對當前ISMS所有相關活動和內容進行符合性檢查；另一方面，可以借助一些技術手段，對信息系統(tǒng)進行檢查以確保其符合安全實施標準。內部審核可以作為提請真正認證審核的一項模擬活動來進行。

四 結語

　　中國有一句老話，叫做“居安思危”。何況在信息安全問題上，企業(yè)所面對的客觀形勢還根本談不上“居安”。當前，信息安全保障的管理正成為世界上的熱點、重點和難點在加以研究中。然而，信息安全終究是高技術的對抗，企業(yè)要解決信息安全，不發(fā)展和應用信息安全技術是不行的。所以。正確的方法是堅持管理和技術并重，積極發(fā)展和采用信息安全技術，加強信息安全管理。信息安全保障能力已經成為衡量企業(yè)競爭力的重要依據，對于一個企業(yè)而言，如何保證其整體信息安全，保障信息系統(tǒng)的可用性、完整性、保密性以及信息與信息系統(tǒng)的可控性，防止企業(yè)核心信息泄密，保護企業(yè)的知識產權，維護企業(yè)核心利益，在當前形式下顯得尤為重要。

核心關注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理，全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域，是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.oesoe.com/

本文標題：汽車制造業(yè)信息安全保障管理實施關鍵過程

本文網址：http://www.oesoe.com/html/support/1112185247.html