前言:尋找寫(xiě)作靈感?中文期刊網(wǎng)用心挑選的企業(yè)信息安全簡(jiǎn)析(3篇),希望能為您的閱讀和創(chuàng)作帶來(lái)靈感,歡迎大家閱讀并分享。
第一篇:電力企業(yè)信息安全等級(jí)保護(hù)定級(jí)
摘要:
隨著現(xiàn)代化社會(huì)和工業(yè)化技術(shù)的不斷發(fā)展,信息化也在不斷的發(fā)展,其中最為重要并且發(fā)展效果最顯著的便是電力行業(yè)。在電力行業(yè)的發(fā)展過(guò)程中,電力設(shè)計(jì)企業(yè)是電網(wǎng)合理設(shè)計(jì)的重要環(huán)節(jié),對(duì)于開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)工作有著非常重要的意義。本文詳細(xì)分析電力設(shè)計(jì)企業(yè)信息安全等級(jí)保護(hù)定級(jí)方式。
關(guān)鍵詞:
電力設(shè)計(jì)企業(yè);信息安全等級(jí);保護(hù)定級(jí)
隨著我國(guó)智能電網(wǎng)的飛速發(fā)展以及電力信息的不斷創(chuàng)新,電力設(shè)計(jì)企業(yè)信息系統(tǒng)是否能夠穩(wěn)定、持續(xù)、安全的運(yùn)行將影響國(guó)家的能源系統(tǒng)的有序性,是確保國(guó)家發(fā)展的根本措施。依據(jù)國(guó)家與電力行業(yè)所開(kāi)展的信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的實(shí)際標(biāo)準(zhǔn),必須有序完成安全等級(jí)保護(hù)定級(jí)流程、定級(jí)對(duì)象、侵害程度、安全等級(jí)、信息系統(tǒng)備案等一系列項(xiàng)目工作。
1信息安全等級(jí)保護(hù)簡(jiǎn)介
電力設(shè)計(jì)企業(yè)信息安全等級(jí)保護(hù)主要是指企業(yè)法人、國(guó)家安全或其他類型的組織、公民享受的信息、公開(kāi)信息的儲(chǔ)存、傳輸以及處理這些信息的系統(tǒng)分等級(jí)實(shí)施安全保護(hù)。對(duì)信息系統(tǒng)當(dāng)中所可能涉及的信息安全產(chǎn)品實(shí)行分等級(jí)的管理,對(duì)信息系統(tǒng)當(dāng)中發(fā)生信息安全事件實(shí)施分等級(jí)受理、響應(yīng)以及處理等綜合性的安全防護(hù)工作。
2電力設(shè)計(jì)企業(yè)信息安全等級(jí)保護(hù)定級(jí)
2.1安全等級(jí)保護(hù)定級(jí)方式
信息系統(tǒng)的定級(jí)主要是由業(yè)務(wù)流程的完整性上實(shí)行整體化的分析、考慮,其具體的實(shí)施步驟為以下幾步:①明確被定級(jí)的目標(biāo);②明確業(yè)務(wù)信息安全在遭受破壞后所侵害的客體或?qū)腕w形成的傷害程度;③明確業(yè)務(wù)信息安全的保護(hù)等級(jí);④確定系統(tǒng)服務(wù)安全在遭受侵害之后對(duì)客體或?qū)腕w形成的傷害程度;⑤明確系統(tǒng)服務(wù)安全的保護(hù)等級(jí);⑥由企業(yè)、法人或個(gè)人明確對(duì)定級(jí)系統(tǒng)的安全保護(hù)等級(jí)。
2.2安全保護(hù)定級(jí)對(duì)象
一般情況下,在信息系統(tǒng)分級(jí)過(guò)程中,應(yīng)當(dāng)按照信息系統(tǒng)的狀況,綜合分析信息系統(tǒng)的業(yè)務(wù)類型、責(zé)任單位、內(nèi)容的重要性以及物理信息等各類型因素對(duì)信息系統(tǒng)進(jìn)行正確的劃分。電力設(shè)計(jì)企業(yè)信息安全等級(jí)之間的關(guān)聯(lián)性,按照配置最佳優(yōu)化方式、提高系統(tǒng)內(nèi)部安全防護(hù)能力、通信網(wǎng)絡(luò)安全防護(hù)以及本地使用與傳輸環(huán)境安全防護(hù)等定級(jí)原則,定級(jí)的信息系統(tǒng)在業(yè)務(wù)流程上需要具備較強(qiáng)的獨(dú)立性和全面性。按照上述的方式和定級(jí)原則,企業(yè)基本上可以被確定為以下幾項(xiàng)定級(jí)對(duì)象:①設(shè)計(jì)管理的系統(tǒng)主要包含綜合性信息管理系統(tǒng)、三維設(shè)計(jì)系統(tǒng)、項(xiàng)目管理系統(tǒng)、經(jīng)營(yíng)管理系統(tǒng)以及圖檔信息管理系統(tǒng);②外部信息主要包含郵件信息系統(tǒng)、企業(yè)各類型網(wǎng)站信息系統(tǒng)以及VPN網(wǎng)絡(luò)信息系統(tǒng);③營(yíng)銷、財(cái)務(wù)經(jīng)濟(jì)狀況管理系統(tǒng)等。
2.3明確受破壞的程度以及客體
對(duì)客體的破壞程度對(duì)業(yè)務(wù)信息安全以及系統(tǒng)服務(wù)安全的影響,其中系統(tǒng)服務(wù)安全主要是保障整個(gè)信息系統(tǒng)的完整性、實(shí)用性等特點(diǎn)來(lái)實(shí)施的。業(yè)務(wù)信息安全主要可以借助完整性、可用性以及隱秘性等來(lái)實(shí)施。
2.4明確信息系統(tǒng)安全保護(hù)等級(jí)
信息系統(tǒng)的安全防護(hù)等級(jí)主要與業(yè)務(wù)信息的安全防護(hù)等級(jí)、系統(tǒng)的服務(wù)安全保護(hù)等級(jí)作為主要設(shè)立依據(jù),一般情況下以等級(jí)較高決定。業(yè)務(wù)信息、系統(tǒng)服務(wù)安全保護(hù)等級(jí)。除此之外,還需要參考國(guó)家所出臺(tái)的安全等級(jí)保護(hù)定級(jí)建議,并最終明確各類信息系統(tǒng)的安全保護(hù)等級(jí)。
3系統(tǒng)備案以及安全等級(jí)保護(hù)定級(jí)變更
3.1系統(tǒng)備案
電力設(shè)計(jì)企業(yè)信息安全系統(tǒng)應(yīng)當(dāng)結(jié)合使用單位而明確信息系統(tǒng)的安全保護(hù)等級(jí)之后,制作并填寫(xiě)相應(yīng)的備案表,然后向上級(jí)部門審核內(nèi)容,在經(jīng)過(guò)審核批準(zhǔn)之后將備案手續(xù)備案到公安機(jī)關(guān),從而保障安全等級(jí)系統(tǒng)在公安部門有備案數(shù)據(jù),保障企業(yè)利益。
3.2安全等級(jí)定級(jí)更變
在信息安全系統(tǒng)的工作過(guò)程中,信息安全系統(tǒng)的安全保護(hù)等級(jí)應(yīng)當(dāng)隨著信息系統(tǒng)所對(duì)應(yīng)的信息以及相應(yīng)的業(yè)務(wù)形式等內(nèi)容的變化而進(jìn)行適當(dāng)?shù)淖兏貏e是工作狀態(tài)變化較大或者變化形式導(dǎo)致業(yè)務(wù)信息安全或系統(tǒng)服務(wù)在遭受破壞之后形成較大影響時(shí),必須要對(duì)安全保護(hù)等級(jí)重新實(shí)行相應(yīng)的等級(jí)評(píng)定,在重新平定之后,仍然需要向相關(guān)公安機(jī)關(guān)重新申報(bào)備案。
4總結(jié)
綜上所述,通過(guò)對(duì)信息系統(tǒng)定級(jí)以及備案的分析,能夠清晰的掌握各個(gè)信息系統(tǒng)的重要性以及所需要的相應(yīng)防護(hù)等級(jí)等信息,這些信息有利于電力設(shè)計(jì)企業(yè)對(duì)信息安全等級(jí)保護(hù)進(jìn)行更加合理的定級(jí),并實(shí)施相應(yīng)的管理。隨著電力設(shè)計(jì)企業(yè)的不斷發(fā)展以及信息技術(shù)的不斷創(chuàng)新,信息系統(tǒng)的安全防護(hù)等級(jí)必然也會(huì)隨之而變。對(duì)此,就需要相關(guān)工作者按照自身的實(shí)際工作狀況,結(jié)合安全防護(hù)以及項(xiàng)目變化狀態(tài)不斷的優(yōu)化、改善安全防護(hù)等級(jí),優(yōu)化防護(hù)措施,確保電力系統(tǒng)的安全、穩(wěn)定、持續(xù)運(yùn)行。
作者:劉宏嶺 汪江 單位:國(guó)網(wǎng)石嘴山供電公司
參考文獻(xiàn):
[1]于穎黎,吳建華,韓永興.淺談電力設(shè)計(jì)企業(yè)信息安全等級(jí)保護(hù)定級(jí)[J].民營(yíng)科技,2014(9):30-30.
[2]王偉,謝學(xué)富,杜志良.一種用于信息系統(tǒng)安全等級(jí)保護(hù)的定級(jí)技術(shù)[J].信息安全與技術(shù),2015,6(7):16-17.
[3]高陽(yáng),王曉磊,尹蕊,等.安全技術(shù)在電力行業(yè)等級(jí)保護(hù)中的應(yīng)用[J].中國(guó)科技博覽,2014(3):624-624
第二篇:企業(yè)信息安全保密意識(shí)強(qiáng)化
隨著綜合國(guó)力的提高,我國(guó)已成為世界矚目的中心。在經(jīng)濟(jì)活躍的大前提下,中國(guó)與世界各國(guó)發(fā)生著密集的信息交往,而各國(guó)也都在想方設(shè)法獲取我方各類信息情報(bào)。在我國(guó)企業(yè)經(jīng)濟(jì)信息安全領(lǐng)域,竊密與反竊密的爭(zhēng)斗日益激烈、復(fù)雜,層次日益提升,形勢(shì)日益嚴(yán)峻,可以概括為:企業(yè)信息竊密無(wú)所不在,危害極其嚴(yán)重。
一、技術(shù)發(fā)展速度超乎想象
在20世紀(jì),高技術(shù)竊密往往還只是各國(guó)家情報(bào)部門和間諜人員層級(jí)上的專業(yè)手段。而現(xiàn)在,隨著信息技術(shù)的發(fā)展,大數(shù)據(jù)、智慧地球、移動(dòng)互聯(lián)、云計(jì)算等新技術(shù)領(lǐng)域業(yè)已形成,技術(shù)成果得到充分運(yùn)用,信息存儲(chǔ)和處理日益數(shù)字化,網(wǎng)絡(luò)空間已成為竊密的新戰(zhàn)場(chǎng)、泄密的新渠道。這種變化,使普通網(wǎng)民都有能力成為高技術(shù)竊密者,甚至擁有或超過(guò)專業(yè)間諜的能力。計(jì)算機(jī)病毒技術(shù)。據(jù)俄羅斯反病毒軟件開(kāi)發(fā)商卡巴斯基統(tǒng)計(jì):1994年,他們每小時(shí)檢測(cè)到1個(gè)新病毒;到2006年,每分鐘檢測(cè)到1個(gè)新病毒;到2011年,每秒鐘檢測(cè)到1個(gè);到現(xiàn)在每天可檢測(cè)到20多萬(wàn)個(gè)新病毒(每秒鐘約2.4個(gè))。目前,我國(guó)有超過(guò)24%的U盤被病毒感染。這些病毒既可以依附于軟件,也可以固化在各類硬件之中;既可占用計(jì)算資源,影響信息利用,也可以用于盜取各種技術(shù)和經(jīng)濟(jì)數(shù)據(jù)。同時(shí),我們也應(yīng)當(dāng)看到,在計(jì)算機(jī)及其網(wǎng)絡(luò)中流行的病毒還并不太可怕,可以利用殺毒軟件進(jìn)行防治,而真正可怕的是一些組織或集團(tuán)開(kāi)發(fā)制作的特種用途程序(也可以稱作病毒),不易發(fā)現(xiàn)、難以查殺,平時(shí)處于潛伏狀態(tài),一旦啟動(dòng),造成的危害和損失不可估量,只有從源頭上抓起才能有效防范。大數(shù)據(jù)技術(shù)。其發(fā)展和運(yùn)用,使信息的獲取、分析能力顯著提高,使過(guò)去隱藏在幕后和后臺(tái)的行為、信息無(wú)處遁形,給國(guó)家和企業(yè)的商業(yè)秘密,以及個(gè)人隱私保護(hù)帶來(lái)嚴(yán)峻挑戰(zhàn)。斯諾登曾曝料,像他這樣的技術(shù)人員,可以做到在任何地點(diǎn),鎖定任何被選定的目標(biāo)實(shí)施行動(dòng)。有過(guò)網(wǎng)上購(gòu)物經(jīng)歷的人,會(huì)有這樣的體會(huì):當(dāng)你訪問(wèn)購(gòu)物網(wǎng)站時(shí),你會(huì)發(fā)現(xiàn),網(wǎng)站隨時(shí)在向你推送你過(guò)去想要的物品。這是因?yàn)榫W(wǎng)站在利用大數(shù)據(jù)技術(shù),對(duì)你的上網(wǎng)偏好、購(gòu)物喜好自動(dòng)進(jìn)行了統(tǒng)計(jì)分析,從而有針對(duì)性地為你提供服務(wù)。這只是大數(shù)據(jù)技術(shù)應(yīng)用的一個(gè)極其簡(jiǎn)單的例子。企業(yè)工作人員的上網(wǎng)偏好,同樣也可以反映企業(yè)關(guān)注的重點(diǎn)、發(fā)展方向,如果被競(jìng)爭(zhēng)對(duì)手了解到,也可能帶來(lái)商業(yè)競(jìng)爭(zhēng)的被動(dòng)。網(wǎng)絡(luò)入侵技術(shù)。以往,網(wǎng)絡(luò)入侵行為主要通過(guò)特殊的軟件和工具,以直接接觸方式,才能滲透到別的計(jì)算機(jī)或服務(wù)器。隨著無(wú)線技術(shù)的廣泛應(yīng)用,網(wǎng)絡(luò)入侵已突破物理界限,利用安裝在USB和網(wǎng)絡(luò)插頭內(nèi)的間諜設(shè)備,可以以其為天線,將目標(biāo)設(shè)備的信號(hào)通過(guò)無(wú)線信號(hào)發(fā)射到周邊的監(jiān)測(cè)設(shè)備;通過(guò)無(wú)線局域網(wǎng),可以攻擊安裝Windows和XP操作系統(tǒng)的計(jì)算機(jī),遠(yuǎn)程激活無(wú)線設(shè)備并與周圍的設(shè)備進(jìn)行連接,從而突破內(nèi)外網(wǎng)的物理隔離。
二、監(jiān)控、竊密的強(qiáng)度不斷加強(qiáng)
世界各主要經(jīng)濟(jì)體的經(jīng)濟(jì)監(jiān)控活動(dòng)由來(lái)已久且發(fā)展迅速。從斯諾登披露的材料看,美國(guó)已經(jīng)建立了全方位、系統(tǒng)化、網(wǎng)絡(luò)化的監(jiān)控系統(tǒng)。在監(jiān)控手段上,美國(guó)已建立了覆蓋全球的信號(hào)情報(bào)監(jiān)控網(wǎng);在監(jiān)控對(duì)象上,既包括針對(duì)骨干網(wǎng)絡(luò)、產(chǎn)品供應(yīng)商和服務(wù)商的“中間”監(jiān)控,也包括針對(duì)特定對(duì)象的“終點(diǎn)”監(jiān)控;在攻擊對(duì)象上,既包括服務(wù)器、路由器、基站、防火墻等典型的網(wǎng)絡(luò)設(shè)備,也包括計(jì)算機(jī)、打印機(jī)、手機(jī)等普通用戶的終端。例如,利用“棱鏡”項(xiàng)目,美國(guó)政府可以直接訪問(wèn)微軟、雅虎、谷歌、臉譜、蘋(píng)果等美國(guó)九大互聯(lián)網(wǎng)服務(wù)器,獲取郵件、網(wǎng)絡(luò)通話、即時(shí)信息、視頻會(huì)議、存儲(chǔ)的數(shù)據(jù)等。在強(qiáng)大的技術(shù)優(yōu)勢(shì)面前,只要企業(yè)或者個(gè)人成了關(guān)注重點(diǎn)、竊密對(duì)象,在互聯(lián)網(wǎng)內(nèi)就沒(méi)有秘密可保,也沒(méi)有隱私可言。除技術(shù)竊密外,各主要經(jīng)濟(jì)體的商業(yè)間諜活動(dòng)也很猖獗,金錢、美色、威逼利誘,無(wú)所不用其極,并且往往是直接的、赤裸裸的,對(duì)一些意志薄弱的人員很容易奏效,因而也成了獲取商業(yè)秘密的重要手段。
三、觀念認(rèn)知誤區(qū)
在企業(yè)商業(yè)秘密的保護(hù)問(wèn)題上,一些企業(yè)工作者的意識(shí)中或多或少存在這樣幾種模糊認(rèn)識(shí),如果不澄清和克服,是非常危險(xiǎn)的。其一,誤以為自己不掌握企業(yè)核心技術(shù),不參與重大決策,保守秘密與己無(wú)關(guān)。一條繩子所能承受的拉力,是由應(yīng)力最小的部分決定的。歷史反復(fù)告誡我們,防線往往是從內(nèi)部突破的。在一個(gè)保密防范嚴(yán)密的企業(yè),由于核心人員的安全保密觀念強(qiáng),手段有力,往往不易被攻破。然而,非核心人員卻可能成為獲取核心商業(yè)秘密的迂回渠道。企業(yè)如不注重全員防范,個(gè)人警惕性不高,那些不把保密作為己任的人員,可能會(huì)成為竊取企業(yè)秘密的工具,被對(duì)手所利用。其二,誤以為自己是專家,自己的防范措施無(wú)懈可擊。企業(yè)在信息安全上盲目自信,或者心存僥幸都是非常危險(xiǎn)的。世間沒(méi)有攻不破的防護(hù)手段,突破防線只是時(shí)間和投入問(wèn)題。真正的高手,是總會(huì)有危機(jī)感的。企業(yè)信息安全工作的攻與防,從來(lái)是對(duì)立統(tǒng)一的兩個(gè)主體,無(wú)論你站在哪一方,都要感受到來(lái)自另一方的潛在威脅,都要清醒地意識(shí)到問(wèn)題的另一面。越是企業(yè)信息專家,越是要更加小心,因?yàn)槟闶羌夹g(shù)高手,也就有人希望與你過(guò)招;因?yàn)槟阏莆掌髽I(yè)的商業(yè)秘密,你也就成了竊密的重點(diǎn)。企業(yè)要樹(shù)立嚴(yán)謹(jǐn)科學(xué)的防范意識(shí),為企業(yè)經(jīng)濟(jì)信息安全打造人防、物防、技防和制度防的綜合防護(hù)系統(tǒng),決不能給蒼蠅留下侵入的縫隙。其三,誤以為寫(xiě)的材料不標(biāo)示密級(jí)就不屬于秘密。特別是涉及國(guó)家秘密的材料,企業(yè)工作者們要認(rèn)識(shí)到:是否屬于國(guó)家秘密,不是以標(biāo)示形式確定的,而是以內(nèi)容是否涉及到國(guó)家秘密來(lái)確定的。國(guó)家秘密范圍是法定的,只要涉及到這些特定的內(nèi)容,不管你標(biāo)不標(biāo)識(shí),它就是秘密。進(jìn)一步講,定密還分為原始定密和派生定密。通俗地說(shuō),原始定密是指所處理的事項(xiàng)和產(chǎn)生的信息都屬原創(chuàng),但屬于法定的國(guó)家秘密范圍的,就需要按照相應(yīng)密級(jí)做出標(biāo)識(shí),并采取相應(yīng)的保密措施;派生定密是指引用的內(nèi)容來(lái)自于秘密資料,這就要根據(jù)所引用資料的密級(jí)和引用的內(nèi)容來(lái)確定新材料的密級(jí),并采取相應(yīng)的保密措施。因此,無(wú)論是摘抄還是復(fù)印涉及企業(yè)技術(shù)和商業(yè)秘密資料,或者引用了涉密數(shù)據(jù),都應(yīng)該做出明確標(biāo)示,一方面是落實(shí)保密法規(guī)制度,另一方面也是給接觸者一個(gè)警示和提醒,讓企業(yè)工作人員更好地保管有關(guān)材料,防止隨意傳播、丟棄,造成無(wú)意泄密。其四,誤以為網(wǎng)絡(luò)是法外之地,自己使用的是匿名,在網(wǎng)上干些什么、說(shuō)些什么都沒(méi)人知道。這種認(rèn)識(shí)是完全錯(cuò)誤的。事實(shí)上,在上網(wǎng)時(shí),雖然IP地址的獲取是隨機(jī)的,但在某個(gè)時(shí)段、某個(gè)IP地址是何用戶使用的,在服務(wù)器中記錄得清清楚楚,網(wǎng)上的任何信息都可以追根溯源,任何行為都會(huì)留下電子信息。其五,誤以為信息被刪除了,就真的不存在了。在計(jì)算機(jī)里,刪除信息通常有兩種方式:一種是直接刪除,并從回收站里清除;另一種是利用粉碎工具粉碎。這兩種方式其實(shí)都是可以恢復(fù)的。因?yàn)榍耙环N只是刪了文件名,后一種只是采取了數(shù)據(jù)覆蓋的方式,它可以對(duì)付一般恢復(fù)技術(shù),但對(duì)專業(yè)人員一點(diǎn)用都沒(méi)有。為此,企業(yè)應(yīng)當(dāng)加強(qiáng)對(duì)處理過(guò)的技術(shù)和商業(yè)秘密的存儲(chǔ)介質(zhì)的管理,決不能因信息清除不徹底而造成泄密。其六,誤以為拔掉網(wǎng)線不上網(wǎng),處理涉密信息后再拷出來(lái)并刪掉就不會(huì)泄密。這種認(rèn)識(shí)是不對(duì)的,如果計(jì)算機(jī)或者移動(dòng)外接設(shè)備(移動(dòng)硬盤、U盤)被植入了專用木馬(習(xí)慣上稱為擺渡工具),它就會(huì)在使用者毫無(wú)察覺(jué)的情況下,把涉密信息臨時(shí)儲(chǔ)存在計(jì)算機(jī)內(nèi)。當(dāng)你再次上互聯(lián)網(wǎng)時(shí),它又會(huì)在不知不覺(jué)中將這些信息傳到特定的服務(wù)器。企業(yè)必須加強(qiáng)內(nèi)網(wǎng)管理,內(nèi)部網(wǎng)絡(luò)設(shè)備必須專用,要采取行政和技術(shù)手段杜絕在互聯(lián)網(wǎng)上交叉使用,以確保內(nèi)外網(wǎng)的物理隔離。其七,誤以為信息在網(wǎng)上了就是信息公開(kāi),也就不涉密了。解密分為兩種,一是按照保密期限或者解密條件解密。定密要確定保密期限或者解密條件,當(dāng)?shù)狡诨蛘呓饷軛l件具備后,定密機(jī)關(guān)或者企業(yè)單位沒(méi)有異議的,就視為解密。另一種是決定解密,也就是機(jī)關(guān)、企業(yè)單位在決定和處理事項(xiàng)工作中確定需要保密的事項(xiàng),根據(jù)工作需要決定公開(kāi)的,正式公布即視為解密。這種解密是由原定密機(jī)關(guān)單位決定的,那種非正式渠道或者非定密機(jī)關(guān)、企業(yè)單位擅自公布的是泄密,而非解密。個(gè)人或企業(yè)單位擅自轉(zhuǎn)載會(huì)造成秘密在更大范圍內(nèi)擴(kuò)散,因此企業(yè)官網(wǎng)或者個(gè)人轉(zhuǎn)載信息,要看信息機(jī)關(guān)和部門是否具備和解密的資格、信息是否權(quán)威。
四、幾點(diǎn)建議
1.企業(yè)的計(jì)算機(jī)無(wú)論涉密與否都要設(shè)密碼。設(shè)密碼不是為了防范企業(yè)內(nèi)部人員,而是防止本企業(yè)以外的人員利用企業(yè)的計(jì)算機(jī)來(lái)胡作非為。如果企業(yè)的上網(wǎng)計(jì)算機(jī)不設(shè)密碼,那就等于對(duì)網(wǎng)上所有人士開(kāi)放了最高權(quán)限,略懂網(wǎng)絡(luò)技術(shù)的人就可以隨意訪問(wèn)企業(yè)計(jì)算機(jī),調(diào)取企業(yè)信息資料,或者上傳與企業(yè)無(wú)關(guān)的信息資料,或者把企業(yè)的計(jì)算機(jī)作為跳板,也就是通常所說(shuō)的“中間機(jī)”,對(duì)其它計(jì)算機(jī)發(fā)起攻擊,而被攻擊對(duì)象一旦發(fā)起追溯,這臺(tái)“中間機(jī)”就成為攻擊者的替罪羊。所以,為了企業(yè)信息的自身安全,為了避免可能引起的不必要的麻煩,最好是設(shè)上密碼。還要注意:不要用某人的生日來(lái)作密碼,這是“撞庫(kù)”攻擊最為常用的密碼。
2.企業(yè)的涉密計(jì)算機(jī)和設(shè)備堅(jiān)決不能接入互聯(lián)網(wǎng)。這里說(shuō)的“接入”是指以下兩種行為:一是將企業(yè)的涉密計(jì)算機(jī)直接連接互聯(lián)網(wǎng);二是將企業(yè)的涉密設(shè)備(如移動(dòng)硬盤、U盤以及其它具有存儲(chǔ)功能的設(shè)備)在企業(yè)的涉密計(jì)算機(jī)和上網(wǎng)聯(lián)網(wǎng)的計(jì)算機(jī)之間交叉使用。如果接入互聯(lián)網(wǎng),便有兩個(gè)危害:首先是違規(guī),說(shuō)得嚴(yán)重一點(diǎn)是犯法。我國(guó)《保密法》第24條明確規(guī)定,不得“將涉密計(jì)算機(jī)、涉密存儲(chǔ)設(shè)備接入互聯(lián)網(wǎng)及其它公共信息網(wǎng)絡(luò)”。一旦接了,就是違法行為;其次,如果企業(yè)的計(jì)算機(jī)被人控制了,這些信息就可能被人瀏覽、竊走,從而造成泄密。什么是泄密呢?秘密信息失去控制,而又無(wú)法證明不被不得知悉的人知悉了,就可以認(rèn)定為泄密。企業(yè)工作人員一旦把帶有企業(yè)涉密信息的設(shè)備連接到上互聯(lián)網(wǎng)的計(jì)算機(jī),嚴(yán)格來(lái)講,這種行為就已經(jīng)造成了信息失控,認(rèn)定泄密并不冤枉。
3.傳遞涉密信息要選擇正確的渠道。這里要特別提醒的是:企業(yè)不能用普通電子郵件和郵政、快遞傳遞涉密信息或載體。電子郵件的存在背景就是互聯(lián)網(wǎng),是絕對(duì)不允許的。但郵局、快遞呢?也是不允許的。企業(yè)工作人員一定要注意:傳遞涉密信息,電子方式的要使用專用加密設(shè)備;光盤和紙質(zhì)的信息載體,要么選擇機(jī)要交通,要么安排專人傳送,其它途徑都是不允許的,更不允許擅自攜帶涉密載體出國(guó)境,或者將涉密信息、載體郵寄或傳遞到國(guó)境外。
4.企業(yè)處理涉密信息要用專用計(jì)算機(jī)和存儲(chǔ)介質(zhì)。企業(yè)如需處理涉密信息,就要配備專用計(jì)算機(jī)、移動(dòng)硬盤等工具,且確保這些工具只用于處理涉密信息和涉密事項(xiàng),絕對(duì)不能“使用非涉密計(jì)算機(jī)、非涉密存儲(chǔ)設(shè)備存儲(chǔ)、處理國(guó)家秘密信息”以及企業(yè)重要經(jīng)濟(jì)信息。
5.企業(yè)要按規(guī)定物理銷毀報(bào)廢的涉密載體和設(shè)備。企業(yè)處理過(guò)涉密信息的計(jì)算機(jī)、移動(dòng)存儲(chǔ)介質(zhì)報(bào)廢后,要按照企業(yè)相關(guān)規(guī)定,按程序報(bào)批后,采取物理銷毀的方式實(shí)施銷毀,絕對(duì)不能“贈(zèng)送、出售、丟棄或者改作他用”。
6.企業(yè)要組織員工加強(qiáng)《保密法》的學(xué)習(xí)。5800多字的《保密法》,不僅是我們處理涉密問(wèn)題的基本依據(jù),更是保護(hù)我國(guó)企業(yè)健康安全發(fā)展的護(hù)身符。中國(guó)企業(yè)正在“走出去”,在“一帶一路”以及更加廣闊的國(guó)際經(jīng)濟(jì)合作中發(fā)揮作用。科學(xué)有效地保護(hù)企業(yè)商業(yè)信息,防范企業(yè)的專有技術(shù)、專利成果、重大商業(yè)信息等無(wú)形資產(chǎn)不致遭遇風(fēng)險(xiǎn),特別是把防范工作做在事前,對(duì)迅速發(fā)展著的中國(guó)企業(yè)至關(guān)重要。企業(yè)要積極組織全體員工認(rèn)真學(xué)習(xí)《保密法》,從保護(hù)企業(yè)信息安全的高度出發(fā),樹(shù)立新形安全文化意識(shí),加強(qiáng)企業(yè)信息安全警示教育,加大信息安全投入,常抓不懈。
作者:尹新建 單位:北京市思想政治工作研究會(huì)
第三篇:企業(yè)級(jí)云服務(wù)商信息安全研究
摘要:
文章著重研究了企業(yè)在選擇SaaS服務(wù)時(shí)如何評(píng)估服務(wù)提供商的安全管理能力,旨在為企業(yè)選擇各種SaaS服務(wù)時(shí)提供參考和指引。
關(guān)鍵詞:
云服務(wù);SaaS;安全評(píng)估;信息安全
隨著云計(jì)算關(guān)鍵技術(shù)的不斷突破,中國(guó)企業(yè)級(jí)軟件服務(wù)化(SoftwareasaService,SaaS)服務(wù)市場(chǎng)百花齊放,企業(yè)對(duì)SaaS服務(wù)的認(rèn)可度進(jìn)入快速上升的軌道,應(yīng)用規(guī)模迅速擴(kuò)大。然而,由于我國(guó)云計(jì)算標(biāo)準(zhǔn)體系尚不完備,保護(hù)個(gè)人隱私數(shù)據(jù)的法律法規(guī)、市場(chǎng)監(jiān)管方式有待完善,各公司的SaaS產(chǎn)品的安全性參差不齊,部分SaaS產(chǎn)品存在較大的安全隱患。據(jù)易觀智庫(kù)2014年度的調(diào)查,在影響用戶選擇企業(yè)級(jí)SaaS服務(wù)的因素當(dāng)中,產(chǎn)品的安全性和可靠性排名第二,比例高達(dá)87.2%[1]。為了消除企業(yè)對(duì)SaaS云服務(wù)存在的安全風(fēng)險(xiǎn)顧慮,本文著重研究評(píng)估SaaS云服務(wù)及提供商的安全管理能力的第二方評(píng)估方法,旨在為企業(yè)選擇SaaS服務(wù)時(shí)提供參考和指引。
1用戶主要關(guān)注的SaaS服務(wù)安全問(wèn)題
用戶關(guān)注的SaaS服務(wù)安全問(wèn)題主要可以分為3類。首先是數(shù)據(jù)泄露或丟失問(wèn)題。信息是企業(yè)的核心資產(chǎn),如果發(fā)生數(shù)據(jù)泄露,公司可能遭受巨大損失、巨額罰款,還可能面臨民事訴訟。因此,SaaS軟件中的數(shù)據(jù)會(huì)不會(huì)丟失、被竊,會(huì)不會(huì)發(fā)生泄露是企業(yè)主要關(guān)注的問(wèn)題之一。其次是云服務(wù)中斷問(wèn)題。企業(yè)將關(guān)鍵工作負(fù)載遷移到云中,云服務(wù)僅僅幾分鐘的宕機(jī)都可能會(huì)極大地?fù)p害企業(yè)與客戶的關(guān)系,而停電、錯(cuò)誤軟件更新、服務(wù)器過(guò)載、數(shù)據(jù)庫(kù)錯(cuò)誤等都有可能導(dǎo)致云服務(wù)中斷。最后是云服務(wù)可持續(xù)性問(wèn)題。企業(yè)投入了大量的資源去學(xué)習(xí)SaaS軟件、開(kāi)發(fā)接口以實(shí)現(xiàn)系統(tǒng)間的集成,一旦云服務(wù)商停止對(duì)外提供服務(wù)將導(dǎo)致之前的系統(tǒng)集成投入歸零。
2從信息安全的視角選擇SaaS服務(wù)
企業(yè)在選用SaaS服務(wù)時(shí)應(yīng)當(dāng)遵循最基本的底線—職責(zé)可以轉(zhuǎn)移,但責(zé)任不可轉(zhuǎn)移。在簽署SaaS服務(wù)協(xié)議前應(yīng)進(jìn)行盡職調(diào)查,可以由IT部門對(duì)SaaS服務(wù)及提供商的安全管理能力進(jìn)行評(píng)估。進(jìn)行評(píng)估時(shí),應(yīng)以風(fēng)險(xiǎn)為導(dǎo)向,重點(diǎn)關(guān)注數(shù)據(jù)安全、應(yīng)用安全,確保“數(shù)據(jù)不丟、應(yīng)用不停、持續(xù)服務(wù)”。其中,“數(shù)據(jù)不丟”主要評(píng)估SaaS服務(wù)的租戶身份識(shí)別和訪問(wèn)管理、數(shù)據(jù)加密管理、日志及審計(jì)管理;“應(yīng)用不停”主要評(píng)估云服務(wù)數(shù)據(jù)中心安全、變更和配置管理、安全事件管理及供應(yīng)鏈管理;“持續(xù)服務(wù)”主要評(píng)估業(yè)務(wù)連續(xù)性管理、公司的穩(wěn)定性及增長(zhǎng)性、可移植性和互操作性。最后,很重要的一點(diǎn),將對(duì)SaaS服務(wù)商的服務(wù)水平要求、安全管控要求以及責(zé)任等落實(shí)到合同中。具體來(lái)說(shuō),企業(yè)對(duì)SaaS服務(wù)及提供商的安全管理能力進(jìn)行評(píng)估時(shí),可參照以下安全域檢查清單進(jìn)行評(píng)估[2]。
(1)風(fēng)險(xiǎn)管理。每種環(huán)境都具有某種程度的脆弱性,都面臨一定的威脅,關(guān)鍵在于識(shí)別這些威脅,評(píng)估它們實(shí)際發(fā)生的可能性以及可能造成的破壞,并采取適當(dāng)?shù)拇胧h(huán)境中的風(fēng)險(xiǎn)降低到可接受范圍。企業(yè)可以通過(guò)查閱服務(wù)商的風(fēng)險(xiǎn)管理程序和風(fēng)險(xiǎn)評(píng)估報(bào)告,判斷云服務(wù)商的風(fēng)險(xiǎn)管理能力,例如對(duì)云服務(wù)風(fēng)險(xiǎn)和殘余風(fēng)險(xiǎn)的可接受級(jí)別是否已定義,如何識(shí)別、分析威脅和脆弱性對(duì)資產(chǎn)的潛在影響,影響分析標(biāo)準(zhǔn)是否可測(cè)量、可重復(fù)執(zhí)行,是否定期對(duì)SaaS服務(wù)運(yùn)行的硬件和軟件系統(tǒng)進(jìn)行安全性檢測(cè)等。
(2)身份識(shí)別和訪問(wèn)管理。身份識(shí)別和訪問(wèn)控制作為信息安全管理過(guò)程中的關(guān)鍵環(huán)節(jié),在云計(jì)算環(huán)境下,面臨著惡意的內(nèi)部人員、不安全的應(yīng)用程序接口等更復(fù)雜的風(fēng)險(xiǎn)。企業(yè)可以通過(guò)檢查身份認(rèn)證及訪問(wèn)控制程序,判斷云服務(wù)商的身份識(shí)別和訪問(wèn)控制管理水平。例如在SaaS系統(tǒng)創(chuàng)建租戶初始密碼時(shí)是否隨機(jī)生成租戶默認(rèn)密碼,租戶首次登陸系統(tǒng)時(shí)是否強(qiáng)制要求修改默認(rèn)密碼,密碼是否有復(fù)雜度要求,能否支持雙因子驗(yàn)證租戶身份,能否檢測(cè)租戶異常登陸并通知等。
(3)數(shù)據(jù)加密管理。數(shù)據(jù)是企業(yè)的重要資產(chǎn),云平臺(tái)中的數(shù)據(jù)需要避免出現(xiàn)數(shù)據(jù)泄露、丟失、被竊等問(wèn)題。通過(guò)加密來(lái)保證數(shù)據(jù)的機(jī)密性是云平臺(tái)中數(shù)據(jù)保護(hù)的一項(xiàng)最佳實(shí)踐,在某些情況下也是某些國(guó)家和地區(qū)的法律法規(guī)所強(qiáng)制要求的。企業(yè)可以通過(guò)檢查密鑰管理策略及加密管理程序,判斷云服務(wù)商的數(shù)據(jù)保護(hù)水平,例如SaaS系統(tǒng)所使用的密鑰能否進(jìn)行生命周期統(tǒng)一管理,通過(guò)瀏覽器訪問(wèn)SaaS系統(tǒng)時(shí)能否支持安全傳輸協(xié)議,SaaS系統(tǒng)能否對(duì)租戶數(shù)據(jù)加密,是否使用公開(kāi)的標(biāo)準(zhǔn)加密算法等。
(4)日志及審計(jì)管理。審計(jì)工具會(huì)記錄用戶的登錄和退出時(shí)間、用戶角色、用戶行為等信息。通過(guò)全面的系統(tǒng)日志,能及時(shí)發(fā)現(xiàn)各種安全威脅、異常行為事件,提供事件追責(zé)依據(jù)。企業(yè)可以通過(guò)檢查安全審計(jì)管理策略,判斷云服務(wù)商的安全審計(jì)水平,例如SaaS系統(tǒng)是否支持系統(tǒng)管理員、安全管理員、安全審計(jì)員三元分立,且系統(tǒng)中沒(méi)有同時(shí)擁有3種權(quán)限的超級(jí)管理員,系統(tǒng)日志是否包括系統(tǒng)運(yùn)行日志、系統(tǒng)管理員操作日志、租戶登陸和使用云資源日志,如何確保日志的非授權(quán)刪除、修改,能否支持實(shí)時(shí)監(jiān)控收集到的各類日志等。
(5)數(shù)據(jù)中心安全。數(shù)據(jù)中心是組織信息系統(tǒng)的核心,通過(guò)網(wǎng)絡(luò)系統(tǒng)向服務(wù)對(duì)象提供各種信息服務(wù)。與傳統(tǒng)的數(shù)據(jù)中心相比,在云計(jì)算時(shí)代的數(shù)據(jù)中心的對(duì)安全的要求也在不斷提高,包括高性能、彈性擴(kuò)展、可靠性保障、虛擬化和可視化、立體安全防護(hù)等要求。企業(yè)可以通過(guò)檢查數(shù)據(jù)中心管理策略,判斷云服務(wù)商的數(shù)據(jù)中心管理水平,例如是否24小時(shí)持續(xù)看管,有沒(méi)有部署安防監(jiān)控系統(tǒng)、門禁系統(tǒng),是否記錄訪問(wèn)者的進(jìn)入和離開(kāi)日期、時(shí)間、進(jìn)入理由,計(jì)算、存儲(chǔ)、內(nèi)存等資源池有多大,是否簽署特定的服務(wù)水平協(xié)議(ServiceLevelAgreement,SLA)等。
(6)變更和配置管理。云計(jì)算環(huán)境下計(jì)算資源被不同的組織共享,在帶來(lái)便利的同時(shí)也增加資源分配的復(fù)雜度,如果未合理有序地處置變更請(qǐng)求,將對(duì)組織及云服務(wù)用戶造成重大影響。企業(yè)可以通過(guò)檢查變更管理程序,判斷云服務(wù)商的變更配置管理水平,例如對(duì)現(xiàn)有系統(tǒng)進(jìn)行升級(jí)時(shí),是否已進(jìn)行變更影響分析,質(zhì)量測(cè)試是否包括的功能測(cè)試、兼容性測(cè)試及性能測(cè)試,新版本的是否采用灰度以實(shí)現(xiàn)平滑過(guò)渡等。
(7)安全事件管理。云計(jì)算按需自服務(wù)、資源池化、多租戶等特性將使信息安全事件管理活動(dòng)更具有直接的挑戰(zhàn)。企業(yè)可以通過(guò)檢查信息安全事件管理程序,判斷云服務(wù)商的信息安全事件管理水平,例如云服務(wù)商是否建立了事故響應(yīng)團(tuán)隊(duì),能否提供事件響應(yīng)的歷史記錄并協(xié)助查驗(yàn),能否提供安全事件響應(yīng)計(jì)劃的測(cè)試記錄等。
(8)供應(yīng)商管理。隨著云計(jì)算這種服務(wù)模型的應(yīng)用,IT供應(yīng)鏈已逐步從產(chǎn)品供應(yīng)鏈向服務(wù)化供應(yīng)鏈轉(zhuǎn)變,產(chǎn)品服務(wù)化供應(yīng)鏈管理的核心和關(guān)鍵問(wèn)題是能力管理。企業(yè)可以通過(guò)檢查供應(yīng)商評(píng)估管理程序,判斷云服務(wù)商的供應(yīng)鏈管理水平,例如能否提供與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議,與重要供應(yīng)商之間的供應(yīng)鏈協(xié)議中是否涉及用戶數(shù)據(jù)保密內(nèi)容及合作到期后用戶數(shù)據(jù)處理方式,是否有對(duì)與上下游供應(yīng)鏈之間的SLA進(jìn)行持續(xù)的評(píng)審等。
(9)業(yè)務(wù)連續(xù)性管理。業(yè)務(wù)連續(xù)性目的是防止業(yè)務(wù)活動(dòng)中斷,保護(hù)關(guān)鍵業(yè)務(wù)過(guò)程免受信息系統(tǒng)重大失誤或?yàn)?zāi)難的影響,并確保它們的及時(shí)恢復(fù)。企業(yè)可以通過(guò)檢查業(yè)務(wù)連續(xù)性計(jì)劃來(lái)判斷云服務(wù)商的業(yè)務(wù)連續(xù)性管理水平,例如查看業(yè)務(wù)影響分析表,企業(yè)的關(guān)鍵業(yè)務(wù)過(guò)程和支持性業(yè)務(wù)過(guò)程識(shí)別是否清晰,查看業(yè)務(wù)連續(xù)性測(cè)試報(bào)告,有沒(méi)有對(duì)測(cè)試的結(jié)果進(jìn)行分析和評(píng)估,查看數(shù)據(jù)備份記錄及數(shù)據(jù)備份恢復(fù)測(cè)試記錄等。
(10)公司穩(wěn)定性及增長(zhǎng)性評(píng)估。這幾年,經(jīng)常有企業(yè)級(jí)SaaS服務(wù)商倒閉或被收購(gòu),公司一旦倒閉停止運(yùn)營(yíng),用戶應(yīng)用及數(shù)據(jù)只能遷移或者丟失。企業(yè)可以通過(guò)調(diào)查云服務(wù)商的客戶流失率、盈利性以及財(cái)務(wù)報(bào)告等資料判斷云服務(wù)商的生存能力。
(11)可移植性和互操作性。如果存在可移植性與互操作性問(wèn)題,租戶遷移到SaaS環(huán)境后,數(shù)據(jù)被鎖定在云平臺(tái)。如果問(wèn)題得到解決,將增強(qiáng)用戶使用云服務(wù)的信心,且可方便用戶進(jìn)行遷移,因而可移植性與互操作性安全非常重要。企業(yè)可以通過(guò)檢查云平臺(tái)技術(shù)來(lái)判斷云服務(wù)商的可移植性和互操作性水平,例如云服務(wù)商的應(yīng)用程序編程接口是否采用公開(kāi)的行業(yè)標(biāo)準(zhǔn)或國(guó)際標(biāo)準(zhǔn),非結(jié)構(gòu)化數(shù)據(jù)是否以行業(yè)標(biāo)準(zhǔn)向用戶提供等。
(12)服務(wù)協(xié)議內(nèi)容。由于SaaS服務(wù)商提供了設(shè)施、IT系統(tǒng)及應(yīng)用系統(tǒng),SaaS服務(wù)商不僅負(fù)責(zé)物理和環(huán)境安全控制,還應(yīng)解決基礎(chǔ)設(shè)施、應(yīng)用和數(shù)據(jù)相關(guān)的安全控制,租戶應(yīng)該在服務(wù)合同中將服務(wù)等級(jí)、隱私保護(hù)、合規(guī)性、安全控制等內(nèi)容進(jìn)行約定,以確保安全需求在合同層面上是可強(qiáng)制執(zhí)行的。
(13)第三方安全評(píng)估認(rèn)證。評(píng)估SaaS服務(wù)信息安全是一項(xiàng)復(fù)雜綜合的工作,企業(yè)往往不一定能夠執(zhí)行到所有方面的檢查,此時(shí)采信專業(yè)的第三方安全評(píng)估認(rèn)證是一個(gè)最佳的方式。企業(yè)可以選擇通過(guò)建立了完整的信息安全管理體系的云服務(wù)商,尤其是通過(guò)了權(quán)威的云安全認(rèn)證的服務(wù)商,如C-STAR、可信云[3]等第三方安全認(rèn)證。
3結(jié)語(yǔ)
信息安全是影響用戶選擇SaaS服務(wù)的重要因素,本文向企業(yè)提供了評(píng)估SaaS服務(wù)及提供商的安全管理能力的方法,為企業(yè)評(píng)估SaaS服務(wù)安全提供了參考依據(jù),而當(dāng)企業(yè)不具備完全的評(píng)估能力時(shí),建議企業(yè)可直接采信主流的第三方云安全評(píng)估認(rèn)證,尤其是通過(guò)了諸如C-STAR、可信云等權(quán)威評(píng)估認(rèn)證的云安全服務(wù)商。
作者:鐘世敏 李堯 高智偉 程廣明 單位:廣州賽寶認(rèn)證中心服務(wù)有限公司
[參考文獻(xiàn)]
[1]易觀國(guó)際.中國(guó)企業(yè)級(jí)SaaS市場(chǎng)年度綜合報(bào)告[R].中國(guó)連鎖,2014(5):82-83.
[2]趙國(guó)祥,劉小茵,李堯,等.云計(jì)算信息安全管理—CSAC-STAR實(shí)施指南[M].北京:電子工業(yè)出版社,2015.
[3]栗蔚.可信云服務(wù)安全認(rèn)證體系[J].電信網(wǎng)技術(shù),2014(4):5-7.