信息安全防护
相关合集:信息安全论文
论文首先简要概述了信息安全防护存在的问题,并以信息系统安全等级保护制度为指南,结合单位现状、需求和发展方向,提出了“人防、物防、技防、制防”四防并重的安全防护体系,并搭建一体化的信息安全管理平台,保障信息安全资源的最优利用,最大可能实现重要业务的可持续性。
1 引言
现在随着企业发展越来越依赖信息化,信息化已成为各单位发展的重要技术支撑和必要工作手段,同时也是实现可持续化发展和提高竞争力的重要保障。然而在信息化带来便捷的同时,网络与信息系统安全风险也在增加,尤其是移动互联网、物联网、云计算、大数据等新技术的应用带来了信息安全方面新的严峻挑战。与此同时,信息系统的安全防护水平在技术与管理等方面仍处于较低水平,因此落后的安全防护与新技术快速应用之间的矛盾,成为阻碍企业信息化发展的主要阻力之一。
2 信息安全防护存在的问题
尽管信息化发展迅速,然而由于在建设初期缺乏统一顶层设计和总体策划,诸如不同建设时期、不同需求导向、不同开发工具、不同系统架构技术路线等建设而成的网络与信息系统形成了异构、复杂的系统状态,因此企业信息系统存在基础设施落后、网络建设各自为政,缺乏有效数据交换手段,造成的利用率不高、缺乏终端安全防护措施和完善的计算机入网监管手段以及防病毒和防木马的意识薄弱等诸多问题。
同时信息化建设是随着需求的改变不断发展变化的,信息安全防护也是一个动态的体系,这就决定了任何技术或手段都不可能一次性地解决信息安全防护中的所有问题,想要打破以前,重新统一规划信息化基础设施和安全体系建设,以提升信息化基础支撑能力和信息系统安全运行能力的想法也难以实现。如何在现有复杂异构的信息系统中,建立一个涵盖信息化各层面的安全防护体系,及时有效地保障当前的信息安全是亟待解决的难题。
3 信息安全防护体系
信息安全防护体系是由信息系统、信息安全技术、人、管理、操作等元素有机结合,能够对信息系统进行综合防护,保障信息系统安全可靠运行,保障信息的“保密性、完整性、可用性、可控性、抗抵赖性”。传统的信息安全防护只限于技术防护手段上,普遍重技术、轻管理,甚至有的单位还存在以事故推动的现象。本文以信息系统安全等级保护制度为指南,结合单位现状、需求和主营业务发展方向,并根据安全等级保护要求以及安全体系特点,从人员、物理设施、安全技术、管理制度四个方面,建立一套适合自身建设规范与信息安全管理规范的安全防护体系,突出“人防、物防、技防、制防”四防并重特点,并以安全等级保护制度和该安全防护体系搭建信息安全管理平台,实现安全管理的信息化、流程化与规范化。
3.1 物理安全
物理安全主要包括基础设施、环境及安全防护设备等方面,重点做好主机房等场所设施的安全防范工作,例如采用室内监控技术、用户访问登记以及自动报警系统等记录用户登录及其访问情况,方便随时查看。此外,对于主机房以及重要信息存储设备来说,要通过采用多路电源同时接入的方式,保障电源的可持续供给,以防因断电造成安全威胁。
3.2 人员安全
人员安全主要是指建立适合自身各级系统的领导组织机构与责任部门,明确岗位设置与职责,完善培训制度,如图1所示,加强从业人员的信息安全教育,增强从业人员的信息安全等级保护意识。通过定期组织培训、业务交流、技术考核等多种方式,不断强化各类人员信息安全和风险防范的观念,树立信息安全等级保护的意识,确保在日常运行维护和应急处置过程中,能够将各类资源优先集中在等级保护级别更高的系统。
3.3 安全技术
信息安全等级保护工作的核心是对信息系统分等级实行安全保护,对信息安全产品实行按等级管理,对发生的事情按等级分类并进行相应处置。根据信息系统级别的差异,有效规划安全产品布局,在信息系统中正确地配置其安全功能,通过身份鉴别、自主访问控制、强制访问控制、安全审计、完整性和保密性保护、边界防护、恶意代码防范、密码技术应用等主要技术保护措施确保网络、主机、应用和数据的安全性。同时,制定相应的应急处置预案、应急协调机制,建立安全监测和灾难恢复机制,落实信息系统安全监测、灾难备份措施,并不断梳理完善系统的运维监控体系和应急处置方案,确保各类信息安全资源能够按照信息系统等保的级别合理分配,优先监控和保障级别高的信息系统安全稳定运行。
3.4 管理制度
管理制度主要包括安全策略、安全技术规范、安全操作指南、系统建设、安全管理、运维、安全检查与评估、应急响应等方面,同时将信息系统的定级、备案、测评、整改等工作纳入流程管理机制,确保等级保护工作常态化和制度化。
4 信息安全管理平台
本文以等级保护制度与安全防护体系作为基础,信息安全管理为主线,搭建信息安全管理平台,从而实现信息安全管理过程清晰,管理过程中的信息高度集成、统一、规范、可追溯、可视化、安全管理工作流程化、规范化。
信息安全管理平台包含信息应用管理平台、信息安全管理平台和基础设施管理平台,主要涉及机房安全管理、网络安全管理、系统运行维护管理、系统安全风险管理、资产和设备管理、信息安全建设管理、数据及信息安全管理、用户管理、安全监测管理、信息安全评估管理、备份与恢复管理、应急处置管理、密码管理、安全审计管理等功能模块,平台架构如图2所示。
通过信息安全管理平台,规范安全保护设施的建设,实现在规划新建、改建、扩建信息系统时同步完成对系统的等级保护定级工作,同时按照预定的等保级别规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应;加强信息安全评估管理,定期开展等级测评工作,开展风险评估工作。在评估过程中将信息系统安全等级保护工作与单位的信息安全基线工作相结合,把信息系统等级保护工作中发现的安全隐患和需整改的问题,纳入信息安全基线的范围,通过本单位信息安全基线的定期评估和整改,逐步提升重要信息系统的安全保障能力水平。
信息安全防护是一项不断发展变化的过程,只有充分熟悉信息安全等级保护制度的基础,对系统正确的定级,准确的风险评估,才能实现信息系统安全持续的建设和运维。
5 结束语
本文简要介绍了现有信息安全防护存在的问题,并以信息系统安全等级保护制度为指南,结合单位现状、需求和主营业务发展方向,建立“人防、物防、技防、制防”四防并重的安全防护体系,搭建一体化的信息安全防护管理平台,通过等级保护制度,不断完善优化运维管理机制,保障信息安全资源的最优利用,最大可能实现重要业务的可持续性。
作者:王燕飞 赵敏 来源:信息安全与技术 2016年2期
上一篇:信息安全态势感知系统
下一篇:有线数字电视的信息安全