论文部分内容阅读
[摘 要]针对信息安全登录保护中的非技术因素展开讨论,找出因人为和管理造成的安全漏洞问题的解决方案。
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)19-0361-01
1 引言
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
在等级保护工作中我们都能做到“明确重点、突出重点、保护重点”,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。对重要的信息系统我们在技术上都能按照等级保护要求部署相关安全设备,但是,仅仅这样就做好安全等级保护工作了么?实际上安全管理在保障信息系统的安全中发挥着重要的作用,俗话称“三分技术七分管理”,所以无论是信息系统运行使用单位还是信息系统安全测评人员都不应该忽视安全管理在信息系统安全中的作用。
在实际工作中,我们往往能看到一些这样的情况,如领导不重视,安全措施、安全制度不落实等非技术问题造成的安全事故。实际上这些问题是可以提前预测和预防的,如果依照国家规定开展信息安全等级保护的测评和整改,那么泄密事件就有可能避免。
做好非技术保护工作主要需要做好以下几点:
2 安全管理制度
安全管理制度内容包括管理制度、制定和发布、评审和修订 3 个部分。管理制度在整个系统中属于大纲,安全管理政策和制度的制定与正确实施对信息系统安全管理起着非常重要的作用,他告诉我们那些行为是属于安全管理禁止的行为,不仅促使全体员工参与到保障信息安全的行动中来,而且能有效地降低由于人为操作失誤所造成的对系统安全的损害。通过制定安全管理制度,能够使责权明确,保证工作的规范性和可操作性。管理制度的建立不仅包含了传统管理方式的特点,也融入了信息安全的特性。
存在问题:1)多数单位的管理制度不完善,缺乏顶层的安全方针、安全策略等;2)只建立了安全管理制度,对于重要操作的操作规程缺失;3)管理制度的执行情况不理想,执行记录缺失。
解决办法:
建立完善的管理制度,补充、制订缺少的各项安全管理制度,完善已有安全管理制度文档,逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训,注重安全意识的教育和日常操作行为规范性教育,并建立内审和管理评审制度,定期对安全管理制度的执行情况、适用性等进行审查。
3 安全管理机构
好的制度还必须执行才能起到有效的作用,安全管理机构内容包括岗位设置、人员配备、授权和审批、沟通和合作4个部分。安全管理的重要事实条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构,这是信息安全管理得以实施、推广的基础。对建立完善的安全组织机构、明确人员的安全职责和权限、完善安全沟通机制和安全检查流程等进行规范。通过构建从单位最高管理层到执行管理层再到具体业务运营层的组织体系,明确各个岗位的安全职责,为安全管理提供组织上的保证。
存在问题:对技术人员和操作人员的日常行为进行规范管理,造成技术和管理分离,技术不能发挥最大的作用。
解决办法:建立安全管理机构制度,规范人员管理,增强安全知识、意识培训安全职责与人员岗位应更好地融合在一起,可在设置安全管理机构的基础上,设定安全管理员岗位,明确安全管理 员职责,规定各运维人员的安全职责和义务。对关键岗位人员、重要部门的员工定期开展信息安全意识教育,加强人员安全意识和安全技能培训,逐步形成群防群治的工作机制,使安全管理融入到日常工作中。
4 人员安全管理
人员安全管理内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理5个部分。
人是信息安全中最关键的因素,信息系统整个生命周期都需要人来参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。因此需要对人员的招聘、入职、转 / 离岗、培训、考核等阶段提出相应的安全要求,并将外部人员访问管理进行了明确的规定。只有对信息系统相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的风险。
存在问题:人员分配、管理不完善,而运维人员则更专注于设备和系统的正常运行,导致安全管理活动难以系统、持续地开展,不能作为常态工作。
解决办法:建立人员安全管理制度,加强对外包人员的安全管理,签署保密协议,制定外包人员管理制度。组织外包人员学习内部的相关安全管理规定,进行安全技能和安全意识培训。制定重要活动的审批流程,加强访问控制及监督等方面的管理。
5 系统建设管理
信息系统建设管理内容包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、 系统交付、系统备案、等级测评、安全服务商选择11个部分。每个部分都涉及多个活动,只有对这些活动实施科学和完善的管理,才能保证系统建设的进度和质量。
存在问题:1)外包软件开发没有根据需求检测软件质量,没有进行软件代码安全检测;2)很多系统没有在项目验收阶段没有第三方安全性验收测试报告。
解决办法:建立系统建设管理制度,在允许的条件下,对软件改造,增强软件的安全功能,开展第三方安全符合性测试。
6 系统运维管理
信息系统建设完成投入运行之后,接下来就是如何维护和管理信息系统。系统运维管理内容包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理13个部分,基本覆盖了各项日常运维活动。对系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。这些要求能够保证运维工作全面、有序地开展。
存在问题:1)设备配置管理不规范,没有相关的制度或流程 ;2)没有安全事件报告和处置制度,没有制定相应的处置流程 ;3)系统没有建立应急预案,应急演练不充分 ;4)对商用密码和电子认证、数字签名的认识和管理不到位。
解决办法:建立系统运维管理制度,完善安全事件报告和处置制度以及对商用密码和电子认证、数字签名的认识和管理,加强应急预案制度的管理与执行,建立规范的制度或流程
7 总结:
贯彻信息安全策略和落实各项安全管理制度,需要全体人员不断提高信息安全意识,才能获得领导层的承诺和实质性的支持,使全体人员积极参与,将安全管理工作作为常态工作自发地开展。随着等级保护相关法律法规和标准内容的完善,安全管理实施需要进一步实践和研究分析,才能与安全保护技术措施紧密融合,达到全面贯彻落实信息安全等级保护制度的最终目的。
中图分类号:TP309 文献标识码:A 文章编号:1009-914X(2016)19-0361-01
1 引言
信息安全等级保护是指对国家重要信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
在等级保护工作中我们都能做到“明确重点、突出重点、保护重点”,将有限的财力、物力、人力投入到重要信息系统的安全保护中去。对重要的信息系统我们在技术上都能按照等级保护要求部署相关安全设备,但是,仅仅这样就做好安全等级保护工作了么?实际上安全管理在保障信息系统的安全中发挥着重要的作用,俗话称“三分技术七分管理”,所以无论是信息系统运行使用单位还是信息系统安全测评人员都不应该忽视安全管理在信息系统安全中的作用。
在实际工作中,我们往往能看到一些这样的情况,如领导不重视,安全措施、安全制度不落实等非技术问题造成的安全事故。实际上这些问题是可以提前预测和预防的,如果依照国家规定开展信息安全等级保护的测评和整改,那么泄密事件就有可能避免。
做好非技术保护工作主要需要做好以下几点:
2 安全管理制度
安全管理制度内容包括管理制度、制定和发布、评审和修订 3 个部分。管理制度在整个系统中属于大纲,安全管理政策和制度的制定与正确实施对信息系统安全管理起着非常重要的作用,他告诉我们那些行为是属于安全管理禁止的行为,不仅促使全体员工参与到保障信息安全的行动中来,而且能有效地降低由于人为操作失誤所造成的对系统安全的损害。通过制定安全管理制度,能够使责权明确,保证工作的规范性和可操作性。管理制度的建立不仅包含了传统管理方式的特点,也融入了信息安全的特性。
存在问题:1)多数单位的管理制度不完善,缺乏顶层的安全方针、安全策略等;2)只建立了安全管理制度,对于重要操作的操作规程缺失;3)管理制度的执行情况不理想,执行记录缺失。
解决办法:
建立完善的管理制度,补充、制订缺少的各项安全管理制度,完善已有安全管理制度文档,逐步形成由安全政策、管理制度、操作规程等构成的、全面的信息安全管理制度体系。加强对员工的培训,注重安全意识的教育和日常操作行为规范性教育,并建立内审和管理评审制度,定期对安全管理制度的执行情况、适用性等进行审查。
3 安全管理机构
好的制度还必须执行才能起到有效的作用,安全管理机构内容包括岗位设置、人员配备、授权和审批、沟通和合作4个部分。安全管理的重要事实条件就是建立一个统一指挥、协调有序、组织有力的安全管理机构,这是信息安全管理得以实施、推广的基础。对建立完善的安全组织机构、明确人员的安全职责和权限、完善安全沟通机制和安全检查流程等进行规范。通过构建从单位最高管理层到执行管理层再到具体业务运营层的组织体系,明确各个岗位的安全职责,为安全管理提供组织上的保证。
存在问题:对技术人员和操作人员的日常行为进行规范管理,造成技术和管理分离,技术不能发挥最大的作用。
解决办法:建立安全管理机构制度,规范人员管理,增强安全知识、意识培训安全职责与人员岗位应更好地融合在一起,可在设置安全管理机构的基础上,设定安全管理员岗位,明确安全管理 员职责,规定各运维人员的安全职责和义务。对关键岗位人员、重要部门的员工定期开展信息安全意识教育,加强人员安全意识和安全技能培训,逐步形成群防群治的工作机制,使安全管理融入到日常工作中。
4 人员安全管理
人员安全管理内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理5个部分。
人是信息安全中最关键的因素,信息系统整个生命周期都需要人来参与,包括设计人员、实施人员、管理人员、维护人员和系统用户等。如果这些参与人员的安全问题没有得到很好的解决,任何一个信息系统都不可能达到真正的安全。因此需要对人员的招聘、入职、转 / 离岗、培训、考核等阶段提出相应的安全要求,并将外部人员访问管理进行了明确的规定。只有对信息系统相关人员实施科学、完善的管理,才有可能降低人为操作失误所带来的风险。
存在问题:人员分配、管理不完善,而运维人员则更专注于设备和系统的正常运行,导致安全管理活动难以系统、持续地开展,不能作为常态工作。
解决办法:建立人员安全管理制度,加强对外包人员的安全管理,签署保密协议,制定外包人员管理制度。组织外包人员学习内部的相关安全管理规定,进行安全技能和安全意识培训。制定重要活动的审批流程,加强访问控制及监督等方面的管理。
5 系统建设管理
信息系统建设管理内容包括系统定级、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、 系统交付、系统备案、等级测评、安全服务商选择11个部分。每个部分都涉及多个活动,只有对这些活动实施科学和完善的管理,才能保证系统建设的进度和质量。
存在问题:1)外包软件开发没有根据需求检测软件质量,没有进行软件代码安全检测;2)很多系统没有在项目验收阶段没有第三方安全性验收测试报告。
解决办法:建立系统建设管理制度,在允许的条件下,对软件改造,增强软件的安全功能,开展第三方安全符合性测试。
6 系统运维管理
信息系统建设完成投入运行之后,接下来就是如何维护和管理信息系统。系统运维管理内容包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理13个部分,基本覆盖了各项日常运维活动。对系统实施有效、完善的维护管理是保证系统运行阶段安全的基础。这些要求能够保证运维工作全面、有序地开展。
存在问题:1)设备配置管理不规范,没有相关的制度或流程 ;2)没有安全事件报告和处置制度,没有制定相应的处置流程 ;3)系统没有建立应急预案,应急演练不充分 ;4)对商用密码和电子认证、数字签名的认识和管理不到位。
解决办法:建立系统运维管理制度,完善安全事件报告和处置制度以及对商用密码和电子认证、数字签名的认识和管理,加强应急预案制度的管理与执行,建立规范的制度或流程
7 总结:
贯彻信息安全策略和落实各项安全管理制度,需要全体人员不断提高信息安全意识,才能获得领导层的承诺和实质性的支持,使全体人员积极参与,将安全管理工作作为常态工作自发地开展。随着等级保护相关法律法规和标准内容的完善,安全管理实施需要进一步实践和研究分析,才能与安全保护技术措施紧密融合,达到全面贯彻落实信息安全等级保护制度的最终目的。