信息安全管理体系

信息安全管理体系（精选12篇）

信息安全管理体系 篇1

摘要：目前大部分空管中心之间的联系仍然是通过话音和点对点的数据交互,因此人的能力限制了协调的速度和精确性,对管制中心之间的影响范围产生了约束。全系统信息管理(System Wide Information Management,SWIM)作为一种分布式信息系统,最主要目的是实现在管制系统之间的互连网络,并且通过协同和提高空域的有效利用率带来实质性的收益,其主要核心服务之一是信息安全保障,但是安全性在大范围的分布式系统中是很难保证的,对信息安全性比较薄弱的系统来说是更大的挑战。文章从信息安全服务体系和安全技术方面对SWIM的信息安全进行了研究,给出了安全体系的研究途径。

关键词：全系统信息管理,安全服务,安全技术

0 引言

全系统信息管理(System Wide Information Management,SWIM)是基于信息网络技术,采用SOA面向服务架构,无缝连接航空公司、机场、空管等相关单位,有效、及时地共享和交换相关数据,为不同单位、不同信息系统之间提供数据交换的基础平台,通过协同和提高空域的有效利用率带来实质性的收益。

SWIM作为大范围的分布式系统,依托统一的信息平台,把原有空管信息化“点对点”的链形连接变为“一对多”的星形连接,最大限度地实现资源共享。各信息系统需经适配器进行接口转换、消息转换、数据过滤等操作后,经适配器翻译成SWIM平台能够接收的数据格式、消息格式,方能与SWIM平台上其他系统进行信息交互。在大范围的分布式系统中安全性是很难保证的,对信息安全性比较薄弱的系统来说是更大的挑战。

安全服务是SWIM提供的核心服务之一,需要采用新的安全技术来提供保障,同时也遵循以Web服务安全标准为主的通用安全机制。文章对信息安全服务体系的研究途径和安全功能体系进行了分析,对影响SWIM信息安全生命周期的主要层次的安全技术进行了研究。

1 SWIM概念与体系结构

1.1 SWIM运行概念

参考单一欧洲天空空管研究联合行动(Sing European Sky ATM Research,SESAR)中的SWIM运行概念标准[1],SWIM运行概念包括的要素分为空中交通管理(ATM)信息参考模型、信息服务参考模型、信息管理、SWIM技术基础设施和SWIM应用。

ATM信息参考模型(ATM Information Reference Model,AIRM)通过逻辑数据模型对ATM信息进行标准定义,引入了ATM信息新的标准,比如AIXM-5的航空数据;信息服务参考模型(Information Service Reference Model,ISRM)对所需信息服务和行为模式进行逻辑细化;信息管理包括用户身份鉴定、资源传输、安全方面(可信、密码、授权、通告服务、注册),用以支持信息共享;SWIM技术基础设施通过ATM数据和服务的分发、交互实现实时协作的架构;SWIM应用对各类关键数据信息交换,为终端用户即空管、航空公司、机场、军方和社会公众等提供有关信息数据。

通过SWIM进行交换的数据包括:通过集成、分析和格式化的航空数据信息;航空器4D详细飞行航迹,这样航空器的位置可以根据时间获取;机场各种要素的状态,包括进近、跑道、停机位、闸门等机场运行信息;过去、当前和未来对空中交通有关联的地球气象信息;空中交通流量信息等。

1.2 SWIM安全性架构

SWIM安全性架构[2]如图1所示,它从逻辑上被划分为3个组成部分。最顶层是空管系统使命功能,它利用SWIM的服务功能进行协作;最底层是信息技术基础设施(ITI)功能(包括网络和安全等),这些是上层功能运行所必需的;边界保护功能处于SWIM服务和ITI之间。

SWIM能够通过不同的应用实现广泛用户之间可信赖的信息共享。用户应用包括:飞行员在飞行器的起飞、导航和降落阶段获取共享信息;机场运行中心管理起飞、地面运行、进近和着陆时的共享信息;航空公司制定时刻表、规划飞行路、降低延误时的信息共享;民航管制中心的空中交通服务信息共享;提供气象发布和预报的气象服务信息共享;军航管制中心使用空域的信息共享。

2 SWIM信息安全服务体系研究

SWIM信息安全服务涉及保护SWIM共享信息的保密性、完整性、可用性和不可抵赖性,其最终目的是为SWIM环境下的ATM应用和服务的实现提供可靠的中间件支持和标准的安全保障。而服务安全基于信息交互、数据存取的消息安全,SWIM环境下的消息以XML格式为基础,其可靠传输有赖于底层机制和整个环境本身的安全[3]。

在信息的生命周期内对信息的完全保护,信息安全体系的主要层次必须具备其自己的保护机制,通过深层机制的防护对安全性方法进行构建、设置和更新。涉及的主要服务层次包括公共信息管理层、公共数据传输层和应用层。

2.1 安全技术研究途径

构建SWIM信息安全体系,首先需要建立安全技术的研究途径,分为4个步骤:安全风险评估、安全需求分析、技术安全评估和安全设计,如图2所示。

安全风险评估负责计算系统范围失败的可能性,但是不包括计算受到攻击的可能性,因为受到攻击的可能性会随着时间变化,攻击源和攻击性质都有可能更改[4];安全需求分析将安全风险评估的结果作为输入,负责体系的机密性、完整性、可用性、可批判性、可说明性等方面的分析;技术安全评估对可用技术的安全性进行评估;安全设计对采用的安全服务技术进行设计和决策。

2.2 SWIM安全功能体系

根据SWIM信息安全服务的机密性、完整性等安全性要求,按照安全技术研究途径,建立SWIM安全功能体系,保障信息在数据交换时得到保护。将SWIM安全功能体系分为4个模块,包括安全体系服务、安全体系支撑、安全策略管理和安全策略执行,如图3所示。安全体系服务分为身份管理服务、验证服务、授权服务、保密服务、数据源鉴定服务和监听服务。安全体系支撑作为安全体系服务的基础建设,分为密匙管理、时统服务和注册与存储。

1)安全体系服务

(1)身份管理服务:为了确保SWIM的数据安全,防止隐私数据的外泄,阻止非授权用户的非法访问,必须研究有效的SWIM用户认证方法,为SWIM安全服务架构提供第一道防线;

(2)验证服务:服务请求者须获得一个安全凭证,以便于当它访问所需资源时向同样信任该安全凭证服务(Security Token Service,STS)的服务提供者出示该凭证;

(3)授权服务:SWIM系统的交互和信息的共享带来安全要求的提高和扩展,只有对用户身份做出可靠的确认才能有效地保证合法用户接入网络并对其使用的相应资源进行收费,同时阻止非法用户对网络进行恶意访问和破坏;

(4)保密服务:采用各种加/解密算法,加强网络协议的安全防护;

(5)数据源鉴定服务:对提供数据源的数据信息安全性进行检查,只有安全的信息才进入;

(6)监听服务:为网络安全管理人员提供监视的网络状态、数据流动情况以及网络上传输的信息,监控发现入侵痕迹并及时作出响应;

(7)密匙管理:通过用户身份信息和与身份信息绑定的密钥来定位公钥;

(8)时统服务:接收可靠时钟源的对时信息和网络时间,进行本系统内部和业务软件对时;

(9)注册与存储:为服务请求者提供注册和存储服务。

2)安全策略管理

SWIM核心服务将为各种应用提供统一服务,而这些应用到服务的策略是通过WS-Policy进行规范的。WS-Policy提供一种简单的基于XML的结构,用于描述应用到Web服务的需求、首选项和性能,并给出了各种策略处理模型,如标准化、交集、融合等。

2.3 SWIM安全技术

基于SWIM安全功能体系,采用以Web服务安全标准为主的通用标准,按照公共数据传输层、公共信息管理层和应用层对信息安全体系进行功能层次分层,如图4所示。

1)公共数据传输层

公共数据传输层提供SWIM数据交换底层的安全机制,包括网络层安全、传输层安全和XML安全[5]。

网络层数据安全包括底层数据的封装、加密、访问控制、完整性检查等,采用IPSec技术可保障SWIM的IP通信,实现基于连接逐跳安全机制的数据传输。传输层安全主要防御会话消息中继节点的攻击,实现数据传输中保密、认证和完整性检查等安全措施,建议采用传输安全协议(Transport Layer Security,TLS)实现基于会话端到端的安全机制。可扩展标记语言(XML)安全包括XML签名(XML Signature)和XML加密(XML Encryption),XML签名将消息发送者的身份与简单对象访问协议(Simple Object Access Protocol,SOAP)消息绑定,既用来描述网络资源、XML文档和协议消息的签名,也用来计算和验证这些签名。XML加密为网络资源、XML文档和协议消息提供数字加密。

2)公共信息管理层

公共信息管理层负责基于消息的安全,包括消息的可靠、有序、无重复传输等。

公共信息管理层可采用SOAP消息格式,SOAP可以和现存的许多因特网协议和格式结合使用,包括超文本传输协议(HTTP)、简单邮件传输协议(SMTP)、多用途网际邮件扩充协议(MIME)等,是一种轻量的、简单的、基于XML的协议。SWIM消息安全由WS安全规范(WS-Security)和WS安全会话规范(WS-Secure Conversation)提供支持。SWIM环境下的XML和SOAP消息在各式各样的协议之上传输,这些消息可能包括FTP、JMS、MQ等。可靠消息传输采用WS-Reliability和WS-Reliable Messaging标准提供支持,该消息传输安全机制保障消息被可靠地传输。

3)应用层

应用层安全为用户提供基于服务和应用的安全,涵盖了安全体系服务中的功能,如身份管理服务、验证服务、授权服务、保密服务等。

身份管理服务由WS-Federation技术标准提供支持,通过互信的网络服务间身份、属性认证使不同的安全域相联的机制,假设网络服务请求方理解新的安全机制并能够与网络服务提供方互相通信,既可用于主动请求,也可用于被动请求。验证服务可采用WS-Trust技术标准。该标准由WS-Security扩展而来,用以描述STS。在STS模型下服务请求者须获得一个安全凭证,以便于当它访问所需资源时向同样信任该STS的服务提供者出示该凭证。授权服务采用安全声明标记语言(Security Assertion Markup Language,SAML)。SAML是一种描述用户认证、授权和属性信息的基于XML的框架,它声明的可以是用户的认证结果、授权证书列表或者授权决定表达式,SAML不局限于SOAP消息,也可以用于基于REST的网络服务。数据源鉴定服务采用XML密钥注册服务规范(X-KRSS),X-KRSS通过用户身份信息和与身份信息绑定的密钥来定位公钥,X-KRSS允许XML应用向XKMS信任的服务提供者注册密钥对。

3 结束语

全系统信息管理是下一代空管系统的核心能力,可有效解决空管、机场、航空公司、气象等部门存在的各自对空管信息掌握不完整、表述不相同、认知有差异等问题,通过协同和提高空域的有效利用率带来实质性的收益。文章从保护SWIM核心服务安全的角度出发,研究了SWIM安全功能体系,分析了以Web服务安全标准为主的SWIM安全服务和基础设施所应遵循的安全技术,给出了安全体系的研究途径,为SWIM的部署、实施和发展提供安全服务技术支持。

参考文献

[1]Matias K,Martin G J.Learn to SWIM[C]//International conference on availability,reliability and security 2014.Fribourg:IEEE Press,2014:556-560.

[2]Stephens B,Tectura C,Bellevue W A.Security architecture for system wide information management[C]//24th digital avionics systems conference.Washington:IEEE Press,2005:344-348.

[3]吴志军,赵婷,雷缙.广域信息管理SWIM信息安全技术标准研究[J].信息网络安全,2014,1(1):1-4.

[4]Martin G J,Tor E F.Sink or SWIM:Information security requirements in the sky[C]//International conference on availability,reliability and security 2013.Regensburg:IEEEPress,2013:794-801.

[5]Federal aviation administration.System wide information management(SWIM)extensible markup language(XML)gateway requirements[EB/OL].[2009-9-21].www.faa.gov/nextgen/programs/swim/documentation/media/gateway/xml_gateway_reqts_v2.0.doc.

信息安全管理体系 篇2

管理制度

根据《中华人民共和国计算机信息系统安全保护条例（国务院）》、《中华人民共和国计算机信息网络国际联网管理暂行规定（国务院）》、《计算机信息网络国际联网安全保护管理办法（公安部）》等规定，陕西秦韵医药有限公司将认真开展网络与信息安全工作，明确安全责任，建立健全的管理制度，落实技术防范措施，保证必要的经费和条件，对一切不良、有毒、违法等信息进行过滤、对用户信息进行保密，确保网络信息和用户信息的安全。

一、网站安全保障措施

1、网站服务器和其他计算机之间设置防火墙，拒绝外来恶意程序的攻击，保障网站正常运行。

2、在网站的服务器及工作站上安装相应的防病毒软件，对计算机病毒、有害电子邮件有效防范，防止有害信息对网站系统的干扰和破坏。

3、做好访问日志的留存。网站具有保存三个月以上的系统运行日志和用户使用日志记录功能，内容包括IP地址及使用情况，主页维护者、对应的IP地址情况等。

4、交互式栏目具备由IP地址、身份登记和识别确认功能，对非法帖子或留言做到及时删除并根据需要将重要信息向相关部门汇报。

5、网站信息服务系统建立多种备份机制，一旦主系统遇到故障或受到攻击导致不能正常运行，可以在最短的时间内替换主系统提供服务。

6、关闭网站系统中暂不使用的服务功能及相关端口，并及时修复系统漏洞，定期查杀病毒。

7、服务器平时处于锁定状态，并保管好登录密码；后台管理界面设置超级用户名、密码和验证码并绑定IP，以防他人非法登录。

8、网站提供集中管理、多级审核的管理模式，针对不同的应用系统、终端、操作人员，由网站系统管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。

9、不同的操作人员设定不同的用户名和操作口令，且定期更换操作口令，严禁操作人员泄露自己的口令；对操作人员的权限严格按照岗位职责设定，并由网站系统管理员定期检查操作人员的操作记录。

二、信息安全保密管理制度

1、充分发挥和有效利用陕西秦韵医药有限公司业务信息资源，保障企业门户网站的正常运行，对网络信息及时、有效、规范的管理。

2、再陕西秦韵医药有限公司门户网站服务器上提供的信息，不得危害国家安全，泄露国家秘密；不得有害社会稳定、治安和有伤风化。

3、本院各部门及信息采集人员对所提供信息的真实性、合法性负责并承担发布信息英气的任何法律责任；

4、各部门制定专人担任信息管理员，负责本网站信息发布工作，不允许用户将其帐号、密码转让或借予他人使用；因密码泄露给本网站以及本单位带来的不利影响由泄密人承担全部责任，并追究该部门负责人的管理责任；

5、不得将任何内部资料、机密资料、涉及他人隐私资料或侵犯任何人的专利、商标、著作权、商业秘密或其他专属权利之内容加以上载、张贴。

6、所有信息及时备份，并按规定将系统运行日志和用户使用日志记录保存3月以上且未经审核不得删除；网站管理员不得随意篡改后台操作记录；

7、严格遵循部门负责制的原则，明确责任人的职责，细化工作流程，网站相关信息按照编辑上传→初审→终审通过的审核程序发布，切实保障网络信息的有效性、真实性、合法性；

8、遵守对网站服务信息监视、保存、清除和备份的制度，经常开展玩过有害信息的排查清理工作，对涉嫌违法犯罪的信息及时报告并协助公安机关查处。

三、用户信息安全管理制度

陕西秦韵医药有限公司网站为充分保护用户的个人隐私、保障用户信息安全，特制定用户信息安全管理制度。

1、定期对相关人员进行网络信息安全培训并进行考核，使网站相关管理人员充分认识到网络安全的重要性，严格遵守相关规章制度。

2、尊重并保护用户的个人隐私，除了在与用户签署的隐私保护协议和网站服务条款以及其他公布的准则规定的情况下，未经用户授权不随意公布和泄露用户个人身份信息。

3、对用户的个人信息严格保密，并承诺未经用户授权，不得编辑或透露其个人信息及保存再本网站中的非公开内容，但以下情况除外： 1违反相关法律法规或本网站服务协议规定；

2按照主管部门的要求，有必要向相关法律部门提供备案的内容； 3因维护社会个体和公众的权利、财产或人身安全的需要； 4被侵害的第三人提出合法的权利主张；

5为维护用户及社会公共利益、本网站的合法权益的要求； 6事先获得用户的明确授权或其他符合需要公开的相关要求。

4、用户应当严格遵守网站用户帐号使用登记和操作权限管理制度，并对自己的用户帐号、密码妥善保管，定期或不定期修改登录密码，严格保密，严禁向他人泄露。

5、每个用户都要对其帐号中的所有活动和事件负全责。用户可随时改变用户的密码和图标，也可以结束旧的帐号而重新申请注册一个新帐号。用户同意若发现任何非法使用用户帐号或安全漏洞的情况，有义务立即通告本网站。

6、如用户不慎泄露登录帐号和密码，应当及时与网站管理员联系，请求管理员及时锁定用户的操作权限，防止他人非法操作；再用户提供的有效身份证明和有效凭据并审查核实后，重新设定密码恢复正常使用。

陕西秦韵医药有限公司将严格执行本规章制度，并形成规范化管理，并成立由单位负责人、其他部门负责人、信息管理主要技术人员组成的网络安全小组，并确定至少两名安全负责人作为突发事件处理的直接责任人。

单位（章）：

内容管理与信息安全 篇3

反病毒传统手段面临尴尬

当每一种新的病毒出现时，会对Internet或企业网络造成相当的不安和骚动，一两天后，反病毒厂商对病毒进行描述，并随之发布一个升级的杀病毒版本。但这经常是事后的消极预防措施，难以挽回电脑用户已蒙受的损失。近年来反病毒技术越来越力不从心，主要是因为企业网络内容的激增，同时还与以下这些因素有关：病毒越来越复杂；内植Java和ActiveX渐成主流；成人Web站点、在线音乐和影像越来越多且易于访问和下载；企业忽视秘密和私有资料等等。

反病毒软件厂商也尝试着通过发布与内容相关的附加软件产品来尽可能弥补病毒软件的不足，但变化还是不明显。事实上，人们需要从底层开始重构企业安全模型，以应对越来越具威胁性的针对内容安全的挑战。

当然，反病毒软件在企业网络安全中占据着重要地位。但是随着一浪接一浪的威胁（诸如CodeRed、Nimda及最近的“冲击波”等病毒），对反病毒软件的过分依赖越来越暴露出隐患。今天用户不需要打开任何附件就能完全暴露在网络中，甚至仅仅与网络相连就能发生病毒感染事件。更糟糕的是，当前的攻击通常是混合方式：病毒可以通过E-mail、下载文件、Web页单元、共享文件夹等各种形式传播。因此，对于企业来说，光靠反病毒软件已不能应付针对内容安全的威胁，如混合性病毒攻击、垃圾邮件、访问成人站点、下载音频和视频、窃取企业秘密及ActiveX和Java之类的内容代码攻击。

企业也曾尝试在现有的反病毒和防火墙软件的顶端将各种防御措施拙劣地组合起来，以实现内容过滤、垃圾邮件和Web站点过滤，以及恶意代码检测等多种功能。但是这种做法也有问题：如何排列这些安全工具的优先级别？在安全投资预算有限的情况下，如何决定先解决哪个威胁？不仅如此，解决从各个不同的厂商处买来的各种安全工具的互操作性问题，就足以使人筋疲力尽。除了IT集成方面的问题，还有运行和维护成本，以及与厂商的各种交涉上的麻烦等系列问题。

安全内容管理

安全内容管理（Security Content Management，SCM）是一种多层面的企业安全解决方案，它既包含现有的反病毒技术，又能将企业安全带到更高的层次。安全内容管理主要包括四方面的内容：反病毒；E-mail和内容安全；Web安全；防止恶意代码攻击。

传统反病毒技术仅仅需要阻断病毒，而内容安全管理需要一种更加概念化的考虑，要同时满足商业和安全两方面的需求。安全内容管理需要更高的智能，既能过滤出商业威胁或与商业无关的内容，同时又要允许确实具有商业价值的信息畅通。

以E-mail为例，安全内容管理中的智能过滤技术使用了多个参数，将有价值的通信从垃圾邮件中区分开来。与此类似，采用了Web安全之后，系统会允许企业内部员工访问那些真正与工作相关的站点，而不允许访问娱乐站点。

安全内容管理通过完全解决基于内容的挑战来满足这些需求。要达到这一点，需要采用以下这些技术：双重反病毒保护，使用两个或更多的反病毒引擎来俘获全部的病毒威胁；事前鉴别以阻断恶意代码；智能过滤垃圾邮件和某些Web站点；关键字鉴别以防止通过E-mail传输私有信息；对各个层面进行集中管理以简化安全管理任务等等。

信息安全管理体系 篇4

1信息安全管理中宏观态势分析的应用

在信息安全管理中, 宏观态势分析主要在于微观技术领域。基于有效的评估、预测, 对信息安全的情况进行分析。 一般情况下, 宏观动态分析主要从稳定性、脆弱性及威胁性等几个方面对信息安全进行描述, 从而为信息安全管理构建多元化的发展基础。宏观动态分析在企业信息安全管理中的应用主要包括以下几个方面。

1.1企业战略发展的构建及核心业务、资产

在多元化的市场环境下, 企业战略性发展的构建很大程度上依托于企业信息安全管理的推进, 以更好地实现企业的战略性发展目标。为此, 在宏观动态分析中, 需要对企业未来一段时间 (一般为3-5年) 的战略发展变迁及核心业务、 资产等情况进行考虑分析, 这是动态分析助力企业战略发展的内在要求。例如, 在宏观动态分析中, 应针对企业的生产经营情况, 确认核心业务、资产是否出现转移;核心资产是否出现折旧等。这对于企业战略性发展的构建以及战略性发展目标的达成, 都具有十分重要的现实意义。

1.2信息安全环境的发展趋势

网络信息时代的快速发展, 强调宏观动态分析应对信息安全环境的发展趋势进行分析, 这对于提高企业信息安全管理能力至关重要。对于现代企业而言, 信息安全管理的开展一方面要基于自身实际情况, 如业务、系统等, 考虑自身内在信息安全的影响因素;另一方面, 也要对信息技术的发展趋势、信息安全环境等进行重点考虑, 针对可能引发额外风险的重点因素, 重点考虑, 重点防范, 实现更有价值的信息安全管理。

1.3社会环境及法律法规的影响要求

在企业生产经营发展的过程中, 政治经济事件对信息安全的影响, 相关法律法规对企业经营的要求, 都是动态分析中需要着重考虑和分析的要素。

在宏观动态分析中, 以上三点要素在风险定量评估中能够起到重要的指导作用。对实际操作情况而言, 可以利用 “Threat (威胁) =impact×likelihood (影响 × 可能性) ”

对风险影响进行表示。基于动态分析对风险实现定量评估, 这对于信息风险管理而言, 无疑具有重要的意义, 可提高信息安全管理的针对性、有效性。

当然, 对于该公式, 可以进行适当拓展, 进而将风险的表达更加全面。即有“Risk (威胁) =asset×vulnerability×threat (资产 × 脆弱性 × 威胁) ”

由此可以知道, 宏观层面的因素对“威胁”值起到了至关重要的影响。无论是社会环境, 还是安全环境趋势, 其值的增加都是构成威胁的重要来源。与此同时, 基于宏观动态分析, 为企业战略性的安全管理提供了一定的参考依据, 且对微观动态分析提供了量化的重要依据。这进一步强化了动态分析的针对性, 并对企业信息安全建设提供指导。

2信息安全管理中微观态势分析的应用

在微观动态分析领域, 无论是理论研究还是实践操作, 都已发展到一定程度。理论与实践并重的应用及发展情形, 强化其在企业信息安全管理中的重要作用。在对微观动态分析中, 需要提及“Endsley模型”。该模型最大的亮点在于将感知进行划分, 分为“感知”“理解”“预测”三个层次, 进而强化信息处理能力。“Endsley模型”的成功构建, 推动了动态分析在信息安全管理中的应用和推广。在“Endsley模型”基础上, 美国提出了“JDL模型”。该模型在优化控制与管理功能等方面进行有效优化与调整, 进而提高了模型的应用性及实用价值。如图1所示, 是“JDL模型”的应用图。

从图1可以知道, 基于数据采集、预处理及事件关联性识别等功能模块的实现, 进一步提高了动态分析的实效性。 通过模型的不断优化与调整, 强调模型在功能构建上更好地满足于信息安全管理的现实需求。与此同时, 在模型不断优化、技术不断发展的大环境下, 微观动态分析技术已逐步成熟, 并在信息安全管理平台中得到有效应用。无论是在应用效果还是应用价值上, 都表现出微观动态分析在信息安全管理中应用的重要性, 对推进信息安全管理现代化发展起到重要的推动作用。因此, 这也是大力发展动态分析技术, 拓展其在信息安全管理领域应用发展的重要基础。

微观动态分析的应用在很大程度上推动了动态分析技术的发展, 也深化其在信息安全管理领域中的应用价值。当前, 随着信息技术的不断发展、模型的不断优化, 其在应用中的性能也在逐步提升, 尤其是在风险分析、应急响应处理等方面。这些功能的优化与完善, 有助于信息安全管理系统的构建, 满足现代信息安全管理的现实需求。

3结语

综上所述, 信息安全管理是一项技术性强、系统性复杂的工作, 强调技术性发展的完备性, 更强调动态分析在其中的有效应用。当前, 随着动态分析技术的不断发展, 它在信息安全管理中的应用日益广泛。尤其是微观动态分析在信息安全管理平台的应用, 进一步提高了动态分析的实际应用价值。本文阐述的立足面在于两点:一是基于宏观层面的动态分析, 为企业战略性构建及发展环境的分析起到重要的指导性意义;二是基于微观层面的动态分析, 依托各种模型的建立与优化 (如“Endsley模型”“JDL模型”) , 强化动态分析的实际应用价值。此外, 随着微观分析技术的不断发展, 它在信息安全管理平台中的应用对推动微观动态分析技术应用及发展, 具有十分重要的意义。

参考文献

[1]李汉巨, 梁万龙, 刘俊华.信息安全管理现状分析[J].信息与电脑, 2013 (11) .

[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务, 2013 (8) :131.

[3]王伟.资源视角的电力企业信息系统运维风险分析[J].西安邮电大学学报, 2013 (1) :121-124.

[4]毕海英.信息安全产品的现状及态势分析[J].现代信息技术, 2013 (7) .

[5]梁晶晶, 黄河涛.局域网安全问题的现状及技术分析[J].科技信息, 2010 (26) .

信息安全管理体系 篇5

【摘要】随着社会的现代化发展，促进了信息技术的提高。在 管理中，传统的 管理模式存在着较多的问题，受各种安全隐患的影响，给 信息资料的保存带来了一定的安全威胁。

具有凭证的价值，是信息传递的重要途径，影响着我国的可持续发展。在疾控中心，的管理具有一定的特殊性，具有专业性、机密性、政策性等特点。本文叙述了疾控中心 信息安全保障体系建设的重要性，还阐述了构建 信息安全保障体系的措施。

【关键词】疾控中心； 信息；安全保障体系

1.疾控中心 信息安全保障体系建设的重要性

在我国，疾控预防控制中心的发展历史悠久，而疾控中心的前身是防疫站，在防疫站时期，我国的信息化建设还未得到良好的发展，那个时期主要以纸质 为主，从而增加了 管理的难度。随着国家信息化建设的推进，近年来，我国疾控中心的工作量不断的加大，管理难度越来越大，国家对公共卫生事业十分的重视，对疾控中心的 安全管理工作提出了明确的要求。在这种艰难的环境下，疾控中心若想实现信息化的稳步发展，需要结合时代的特点，加强 管理的信息化建设，并着力构建 信息安全保障体系，以确保疾控中心的可持续发展。上文提到，疾控中心的 管理具有机密性的特点，信息一旦被泄露，不仅是疾控中心的损失，还会对国家造成危害，其影响极其恶劣，因此，在疾控中心建设中，加强 信息安全保障体系的构建是十分重要的。

2.影响疾控中心 信息安全的因素

在疾控中心内，信息的内容十分复杂，其中包含了：疫情信息、科研、传染病 资料、突发性流行病资料、公共卫生信息、艾滋病信息等方面，所涉及的信息内容具有特殊性和机密性。在国家的现代化建设中，保障 信息的安全是疾控中心的重要工作内容。在疾控中心 信息安全管理中，信息的安全仍然会受到多个方面因素的影响，例如：网络安全，随着我国的信息化，促进了 管理的信息化发展，电子 成为了 信息的重要组成部分，受网络安全问题的影响，电子 可能会受到病毒、黑客等不良因素攻击，造成 丢失或外泄，引发 管理安全问题；系统软件安全，在管理电子 的过程中，若发生硬件故障等问题，则可能造成信息的丢失；人员安全问题，工作人员责任意识和安全意识不高，在管理中存在监守自盗的行为，引发信息安全问题。

3.构建 信息安全保障体系的措施

为了确保疾控中心 信息的安全，加强安全保障体系的建设是重要的安全保障措施，建设安全保障体系的措施主要有以下几点：

3.1 完善安全管理制度保障体系

完善的制度管理是规范工作人员行为的重要措施，工作人员是 信息管理中重要的组成部分，承担着重要的安全责任。在安全保障体系的建设中，完善安全管理制度，可以提高工作人员的责任意识和安全意识，有利于工作人员将 信息的安全管理工作落到实处，从而降低安全问题的发生率，提升我国疾控中心 信息管理的安全性。结合我国对 信息管理的相关要求和规范，例如：《 信息系统安全等级保护定级工作指南》，根据疾控中心的实际情况，制定出合理的、科学的安全管理制度。在建设之前，工作人员需要对 信息进行合理的统筹规划，加强 信息的数字化建设，结合各个工作环节的要求和功能，制定完善的安全管理制度。

3.2 重视工作人员的安全教育

在疾控中心内，管理人员承担着重要的责任，是 信息安全管理的中心，是实际的运行者和操作者，亦是安全保障体系建设的核心。疾控中心应该加强管理人员安全意识培训，可以在中心内，定期开展有关安全知识讲解的培训会，鼓励并组织管理人员积极的参与培训，并加强对管理人员的考核，以提高管理人员对安全知识学习的重视程度。另外，给予管理人员更多有关专业技能和素养的培训机会，提高管理人员的整体素质，提升管理人员的业务能力，有利于提高管理人员 信息安全管理的水平。

3.3 完善安全技术保障体系

提高安全技术是维护疾控中心 信息安全管理的重要途径，随着我国 信息管理的信息化发展，信息系统的安全管理需要安全技术的大力支持，以降低发生安全问题的概率。结合疾控中心的实际发展情况，加强系统安全技术、技术创新、数据安全技术、物理安全技术等方面的研究，以强化 信息的数据备份和恢复、数据库防火墙、数据加密、信息的安全储存、云数据的安全处理等方面，从而降低文件信息被篡改或泄露、病毒攻击、硬件故障等方面的发生率，保障 信息管理的安全。

结语

综上所述，在新时代的背景下，我国 信息管理正面临着巨大的挑战，在信息化建设中，信息管理不仅需要加强 信息化建设，还需要重视 信息的安全管理，重视安全保障体系的构建。通过完善安全管理制度保障体系、重视工作人员的安全教育、完善安全技术保障体系等方面，提高疾控中心 信息安全管理的水平，降低安全问题的发生率，有利于促进疾控中心 管理的可持续发展。

参考文献：

[1]骆念.疾控中心 信息化建设与管理初探[J].职业卫生与病伤.2016.31(2):127-128

信息安全管理体系 篇6

本报讯 （记者 谌力）“中国保险行业面临的信息科技风险十分严峻，中国保监会希望保险公司提高对信息安全的重视，加大对信息安全的投入力度，加强对信息安全事件的判断和应急处理，完善信息安全防范体系。”5月15日，在由中国保监会统计信息部主办、中国人民保险集团公司承办，全国各大保险公司代表参加的保险信息化高峰论坛上，中国保监会统计信息部副主任于玫提出了上述看法。

在本次保险行业的高峰论坛上，有8家保险公司的代表进行了信息安全和风险管理的专题发言，信息安全成为大会热议的焦点。中国人保财险公司副总裁王和在会上谈到，“信息安全不是技术工作，而是整个企业的工作，需要企业内的管理层和所有职能部门共同落实。”中国平安保险（集团）公司CIO罗世礼在发言时说: “信息安全工作不局限于IT，业务人员的落实执行同样重要。执行信息安全的工作，人人有责。”中国人寿集团信息部总经理朱宏玲指出:“风险管理是保险企业创新发展的必然需要，对今天的保险业而言，IT与业务应该建立一致性的风险控制模型，从治理控制、管理控制、技术控制三个层面来建立安全体系。”

新闻点评: 信息安全，对于任何一个行业来说都十分重要。而对于保险业，安全标准无疑是实施信息安全、管理科技风险不可或缺的开门钥匙，保险公司需要找准自己信息安全建设的切入点、引入最适合的体系框架和实施步骤。

信息安全管理体系 篇7

再安全的网络设备也离不开人, 再好的安全策略最终也要靠人来实现, 因此管理是整个电子政务信息系统安全运行中最为重要的一环, 尤其是对于一个规模庞大、结构复杂而且事关重大的国家级系统而言更是如此。因此, 我们有必要认真的分析管理所带来的安全风险, 并采取相应的安全措施。

责权不明, 管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。比如, 对某单位的政务外网部分, 制定了管理规定, 要求工作用计算机不允许通过拨号等方式连入互联网。但如何确保这个规定能够真正得到贯彻和执行?如果没有可靠的工具支持管理人员去检查这个规定的执行情况, 那么工作人员很有可能置规定不顾而贪图便利, 这样, 政务外网的安全风险就增加了。

当网络出现攻击行为、网络受到其它一些安全威胁 (如内部人员的违规操作等) 以及网络中出现未加保护而传播的工作和敏感信息时, 电子政务系统中的多种安全设备均可以进行实时的检测、监控、报告与预警。同时, 当事故发生后, 也有多种设备提供日志记录, 作为攻击行为的追踪线索及破案依据。但如此庞大的数据由谁来分析?如何定性的分析这些数据对信息系统安全性的影响程度?如何综合管理这些安全设备?如何落实安全管理制度, 做到责、权分明?就是电子政务系统信息安全管理体系建设的重要意义了。

要在电子政务网络与信息系统内建立全新的安全管理机制, 必须深刻理解网络并能提供直接全面的解决方案, 因此, 最可行的做法是管理制度和安全解决方案的结合, 并辅之以相应的安全管理工具。

对于电子政务网络与信息系统涉及的这些政府单位来讲, 各单位情况千差万别, 要制定统一的安全管理策略和制度是比较困难的, 这使得整个系统面临极大的管理风险。

信息安全管理在电子政务信息系统安全体系建设中起着非常重要的作用, 一方面可以保证安全产品真正发挥作用, 另一方面合适的程序性安全机制可以弥补安全产品的不足。安全管理制度的实现需要电子政务信息系统内各级领导提供指导方向和人力、物力支持来建立完备的安全管理体系。安全管理制度的内容可以遵循ISO17799的框架。

1 管理体系设计

在进行整个安全体系建设的时候, 我们还需要对安全管理体系做一些设计。

2 组织机构建设

为保证“电子政务”信息系统顺利有序的实施, 必须建立相应的组织机构来具体负责;该组织机构要在组织内统一建设, 要具备必要的行政职能。

成立由电子政务建设单位一把手任组长, 分管领导任副组长, 机关各处室和负责人为成员的信息化建设领导小组, 负责组织领导全系统信息化建设工作, 研究确定“电子政务”系统建设重大事项。

在安全管理中心设有安全审计员, 担负保护系统安全的责任, 并负责制订相应的安全审计制度。安全审计员负责监视系统的运行情况, 收集对系统资源的各种非法访问事件, 并对非法事件进行记录, 然后进行分析处理。如有必要, 还要将审计的事件及时上报主管领导。

在安全管理中心内设立安全技术小组, 负责安全咨询、日常安全设施维护和应急响应。

3 安全管理原则

“电子政务”系统的安全管理主要基于三个原则。

(1) 多人负责原则。

每项与安全有关的活动都必须有两人或多人在场。这些人应是建设单位主管领导指派的, 应忠诚可靠, 能胜任此项工作。

(2) 任期有限原则。

一般地讲, 任何人最好不要长期担任与安全有关的职务, 以免误认为这个职务是专有的或永久性的。

(3) 职责分离原则。

除非相关主管领导批准, 在信息处理系统工作的人员不要打听、了解或参与职责以外、与安全有关的任何事情。

4 安全管理制度建设

电子政务安全管理制度的制订应由平台管理部门组织, 工程承担单位配合, 相关人员参与制订, 经领导委员会批准后, 严格按制度执行。

电子政务要逐步建立和完善的主要安全管理制度有:

制订电子政务安全管理办法。明确安全防护的范围、各类数据的安全等级、管理要求等;

制订系统安全状况的定期评估制度。根据评估情况, 制订安全策略并及时更新;

制订机房管理制度。按安全等级要求实行分区控制, 限制工作人员出入与己无关的区域。出入管理可采用证件识别或安装自动识别登记系统, 采用磁卡、身份卡等手段, 对人员进行识别、登记管理;

制订各类操作规程和运行维护办法。操作规程要根据职责分离和多人负责的原则, 各负其责, 不能超越自己的管辖范围。对系统进行维护时, 应采取数据保护措施, 如数据备份等。维护时要首先经主管部门批准, 并有安全管理人员在场, 故障的原因、维护内容和维护前后的情况要详细记录;

制订备份和恢复管理制度。明确备份策略和恢复机制等;

制订异常、应急管理制度。系统在异常和紧急情况下, 如何尽快恢复的措施, 使损失减至最小;

建立人员管理制度。明确安全管理人员的录取标准、录取程序、培训办法、职责、工作要求、操作权限等;对工作调动和离职人员要及时调整相应的授权;

建立安全设备管理制度, 明确各种设备使用和管理办法以及责任人;

建立证件管理办法。明确数字证书、身份卡等各类证件的发放、使用、回收等的管理办法;

建立日志管理和审计管理制度。明确日志的内容、要求和审计的过程、报告等管理办法;

建立技术文档及媒体管理制度。明确技术文档及媒体的借取、报废等的管理办法;

建立操作系统、数据库等软件的安全管理制度。明确操作系统、数据库软件版本的管理、安全补丁的安装、安全配置等的管理办法;

建立安全审计制度。明确审计的范围、流程、责任人等。

5 系统的统一标准规范

“电子政务”系统的建设首先必须遵从国家、行业的有关标准, 系统建设也必须从一开始就统一建立各类标准规范, 统一使用。

“电子政务”系统安全管理体系建设须遵从的相关规定和标准:《国家电子政务总体框架》 (国信[2006]2号) ;《关于推进国家电子政务网络建设的意见》 (中办发[2006]18号文) 。

机房建设要符合有关国家和行业标准:《电子计算机机房设计规范》 (GB50174-93) 、《计算站场地技术要求》 (GB2887-89) 、《计算站场地安全技术》 (GB9361-88) 、《计算机机房用活动地板的技术要求》 (GB6650-86) 、《电子计算机机房施工及验收规范》 (SJ/T30003) 、《信息安全管理体系标准》 (BS 7799) 、《信息安全管理标准》 (ISO 13335) 、加密标准符合RSA非对称加密标准、《计算机信息系统安全保护等级划分准则》GB17859-1999、《信息安全等级保护管理办法》公通字[2007]43号、《电子政务信息安全等级保护实施指南 (试行) 》。

6 业务培训

确立适应信息化建设与发展机制的信息化推进人力资源管理新观念, 制定开发信息化推进人力资源规划, 建立信息化人力资源培训体系, 制定切实可行的措施。

建立健全培训机制, 针对管理人员、工作人员制订系统的培训计划, 采用集中与分散相结合、定期与随机相结合、教学与自学相结合、培训技术骨干和重点指导相结合的培训模式, 实现分层级、分批次、分类别的全员培训, 不断提高与更新受训人员的操作技能与信息化知识, 以保证信息化建设工作的顺利进行。

7 系统的运维管理

在“电子政务”系统的建设环节, 要寻求到一种将科学规范机制与信息化建设相结合的有效途径。在信息化建设领导小组的领导下, 由电子政务系统建设专家咨询把关, 对监理、研发、集成、应用和维护诸环节严格责权。

“电子政务”系统建成后, 建设部门协调其他各职能部门开展“电子政务”建设与应用的指导、协调、培训、管理、推广和服务, 同时负责信息资源及网络平台的管理、应用和维护, 业务软件及资源的开发应用等工作。

各业务处室设立信息管理员负责本处室的相关业务信息维护工作;各直属单位设立信息化建设管理员, 负责本单位网络安全运行与日常维护工作。

要保证系统的正常运行, 除了建立运行维护管理机构 (人员) , 还要建立必要的运行维护管理体系。安全管理主要包括网络安全管理、应用安全管理、用户安全管理、安全审计等。网络安全管理主要指对网络设备以及防火墙、入侵防御系统等网络安全设备进行管理;应用安全管理主要指对应用系统进行管理;用户安全管理主要指对市级平台的管理员和工作人员进行管理。

7.1 网络安全管理

在网络运维管理软件的支持下, 通过SNMP、RMON协议与被管设备、主机、服务进行通信, 实现有关的安全管理:

维护并识别被管设备、主机、服务的身份, 防止非法设备、主机、服务的接入, 防止设备、主机、服务之间的非法操作。

实时监视被管设备、主机、服务的运行, 发生异常时向管理员报警。

维护被管设备、主机、服务的配置信息, 防止非授权修改, 配置遭到破坏时可自动恢复。

维护网络的安全拓扑, 确保交换、路由、虚拟专用网的正常运行。

配置网络的安全策略, 设置网络边界安全设备的访问控制规则和数据包加解密处理方式。

审计、分析网络安全事件日志, 形成安全分析报告。

实现网络安全风险集中统一管理, 如对入侵检测系统、漏洞风险评估系统、网站监测系统的管理。

实现网络风险评估和防杀病毒。

7.2 应用安全管理

应用安全管理通过对平台上所有应用系统的管理和数据统计, 方便管理员及时掌握系统软件支撑层的健康状况, 并能随时对应用系统的运行进行动态配置。

运行状况分析:以图形化方式实时反映系统跟踪的应用服务的运行信息, 并分析统计生成运行状况表。能够及时发现线程故障, 并以可视化的方式反映在监控页面上。

服务配置:控制每个应用服务进程运行如启动、停止。

应用性能分析和数据统计:提供不同的查询方式, 并可以按照日期、服务使用频率等进行数据统计。

日志管理:根据管理员的配置, 可以生成不同类型运行日志, 如:信息、错误、异常、debug信息等。

7.3 用户安全管理

管理员可通过管理中心实现对系统用户的管理, 主要包括:

建立和维护用户身份。

建立和维护用户权限。

建立和维护访问控制列表。

信息系统安全的实现是通过安全产品、安全技术及安全管理来最终实现的, 管理体制是否健全将是影响信息安全得以实现的一个关键因素, 因此, 需要一个健全的管理体制, 来约束人的行为, 并通过加强培训来增强人的安全意识。通过在电子政务信息系统中建设信息安全管理体系, 可以有效保障电子政务信息系统安全稳定的运行, 以提高政府为公众服务的能力。

摘要：电子政务是政府向社会提供服务的新兴技术, 它运用现代信息技术和通信技术实现政府职能。我们要面临的一个严峻的考验, 就是要保证电子政务信息系统的安全。这就要求必须要有严格的安全管理原则和制度。

信息安全管理初探 篇8

由于计算机和国际互联网的飞速普及, 信息的沟通和交流非常迅速快捷, 但随之而来的问题也不少, 信息安全就是一个目前需要尽快解决的问题之一。

通过信息欺诈方式作案获取非法利益的案件是移动通讯行业比较常见的问题, 犯罪嫌疑人通过移动网络散布虚假信息, 受害人在不知不觉中落入了陷阱, 等发现问题后却很难有效惩处相关嫌疑人。韶关移动2011年协助警方破获了两起信息欺诈案件, 但由于证据不足无相关法律等原因无法进一步处理犯罪嫌疑人, 造成了不良的社会后果。可见, 移动通讯企业对于信息安全的要求特别高, 一旦发生信息安全事件会对企业产生重大影响。因此, 信息安全的管理就非常重要。

一般而言, 信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏, 或防止信息被非法辨识、控制, 即确保信息的保密性、可用性、完整性和可控性。

二、信息安全存在的问题

1、计算机病毒的威胁。

随技术的发展, 通讯企业的网络建设已经形成相当的规模, 网络的总信息量呈现爆炸式增长, 加上网络节点多, 网络应用复杂, 计算机病毒的感染、传播也由原来的简单变得复杂、隐蔽。

2、黑客攻击。

黑客攻击已经成为通讯企业必须面对的问题。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷, 采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入企业计算机系统, 不仅盗窃了系统保密信息, 甚至还对通讯信息修改甚至删除, 极大影响了通讯企业的正常工作环境, 造成的后果极其严重。

3、信息传递的安全风险。

移动通讯企业的主要工作就是进行信息的传递, 在海量数据的传递过程中有很多环节可能导致数据传递的出现问题。这些问题主要包括:信息被非法用户截取, 从而导致信息泄露;信息被非法篡改, 造成数据混乱, 进而导致更大的损失;还有近几年兴起的社会工程攻击, 包括短信诈骗如诈骗银行信用卡号码, 电话诈骗如以知名人士的名义去推销诈骗等, 都运用到社会工程学的方法。在移动通讯行业信息安全的主要表现形式为:垃圾短信, 欺诈电话等, 犯罪嫌疑人通过各种手段大量发送虚假信息的方式, 利用用户对中国移动的信任, 冒充移动公司进行犯罪活动, 不仅损害了用户的利益, 同时也对移动公司造成了不良后果。

4、身份认证和访问控制存在的问题。

企业中的管理信息系统是日常工作的平台, 大量用户都可以在一定范围内正常使用, 同时管理信息系统还包含了相当数量的信息和数据只针对特定用户开放, 没有得到授权的用户不能访问。不过由于部分系统的用户权限设置简单, 管理信息系统的信息安全保障薄弱等原因导致非法用户通过管理信息系统窃取了重要信息, 或获得了较高权限并肆意进行非法活动。

三、信息安全的对策措施

信息安全是一个系统工程, 在长期的信息安全管理活动中, 笔者认为虽然没有信息安全技术是不能真正解决问题的, 但是如果没有管理手段的介入, 技术手段始终是不能有效发挥。因此, 解决信息安全问题应从管理和技术两个方面着手解决。

1、信息安全的管理对策。

管理从概念上讲就是管理者为了达到一定的目的对管理对象进行的计划、组织、指挥、协调和控制的一系列活动。

经过多年的实践, 我们认为信息安全可以总结为“三分技术、七分管理”。在现在的信息安全技术环境下, 攻击成本越来越小, 防御成本越来越大, 企业整体信息安全的水平往往取决于最弱的一环, 而不是最强的地方。这就需要信息安全的管理方法不断创新, 强化人员的安全意识, 以人为本地做好信息安全管理工作。

首先, 信息安全的首要任务就是确保信息系统结构设计的科学合理, 这时信息安全的起点。在公司领导的统筹指导下, 从业务流程的规划, 数据类型, 数据结构等方面开展信息系统的整体设计规划, 尽可能达到最优设计方案, 保证设计的科学合理, 这是确保信息安全的首要因素。其次, 选拔优秀的信息安全管理人员。信息安全涉及的人员非常多, 移动通讯行业的信息安全几乎无所不在, 强化所有人员的信息安全意识固然是需要的, 但所需要的时间和成本都较高。因此, 建立一支精悍、有力的信息安全管理队伍则是比较符合实际的做法, 目前公司的信息安全管理机构已经运作有了相当的基础, 这是信息安全的人力资源。对于信息安全管理队伍来说, 其基本要求是有明确的是非观, 因为信息安全管理人员岗位特殊, 其职业道德水准很可能决定信息的安全程度。当然, 信息安全管理人员需要相当高的安全技术能力, 这是他们开展工作的技术基础。还有一个很重要的要求就是信息安全管理人员需要有良好的团队合作精神, 笔者认为特立独行的技术高手并不等于合格的信息安全管理人员。尤其是今年兴起的社会工程攻击不是传统的信息安全的范畴, 也被称为“非传统信息安全”。传统信息安全办法解决不了非传统信息安全的威胁。一般认为, 解决非传统信息安全威胁也要运用社会工程学来反制社会工程攻击。具体的方法就是应该向用户提供充分的反馈信息, 让用户能做出准确的判断, 避免上当, 并且增加更多的控制机制, 技术即使在错误决策的情况下, 也能防止社会工程攻击的发生。以治理垃圾短信工作为例, 通过成立以公司第一把手为组长的不良信息与非法短信治理工作领导小组, 建立以安全部门牵头, 各部门参与的联合工作小组。建立全员参与的多渠道反馈流程, 与用户建立高效顺畅的沟通渠道, 及时有效防止了垃圾短信的增长, 2011年第四季度治理垃圾1005条。用户的信息安全教育和宣传工作也是信息安全的重要管理对策。通过举办各形式的宣传介绍会, 发送信息安全知识期刊等各种渠道最大程度宣传信息安全知识。在此基础上, 通过对合作单位的延伸进行信息安全管理。具体措施包括:加强对合作单位人员信息搜集和人员管理;组织合作单位人员签定《信息安全保密责任承诺书》。从打击客户信息欺诈工作成效看, 2011年6月17日韶关移动配合本地公安成功捣毁一起大型客户信息欺骗案窝点, 抓获不法分子12人。

2、信息安全的技术手段。

信息安全的技术手段相当多, 由于篇幅限制, 不进行展开论述。这里主要讨论信息安全的集中管理和分级管理技术。集中管理是指将信息安全管理权限集中在信息安全管理机构。其技术手段除了常规的全网管理功能外, 还包括流量审计系统, 文档加密系统, 网络入侵检验系统 (NIDS) , 并建立了敏感数据平台。全网管理功能可以即时分类统计、汇总、备份各种信息, 让信息安全管理员掌握、即时修补系统内所有漏洞。流向审计系统能够监控系统的异常变化, 提升了网络的管控能力。文档加密系统则是信息高效、安全储存和运用的重要支撑;NIDS通过实时监控服务器和网络, 对异常情况能够第一时间进行响应, 而通过建立安全数据管理平台确保了敏感信息的安全。

一般来说, 移动通讯企业体系庞杂, 拥有众多的下属机构, 主要分支机构分布范围广, 企业网络规模庞大, 结构复杂, 每天大量的客户端计算机处理大量业务数据通过网络传输和处理, 因此, 实现终端设备的实时监控是信息安全管理的重要技术手段。保密U盘监控程序采用授权管理、访问控制数据加解密系统, 实现了U盘数据的全盘数据加密保护和安全区数据开启的口令控制。其自带的网络监控系统可以随时监测U盘所在网络的状态, 有效防止U盘交叉使用, 阻止U盘木马和病毒危害, 对终端设备的信息安全管理有极大的帮助。

信息安全管理研究 篇9

关键词：信息安全管理,手段,方法

在互联网时代, 可以说信息化是时代发展的必然结果。信息化给人们生活带来方便的同时也带来了信息安全问题, 许多国家军事机密和商业机密都与信息安全有关, 一旦这些信息受到安全威胁, 就会给国家、企业和人民带来巨大损失。因此我们说信息化有利有弊, 但是信息安全的弊端可以通过信息技术、安全管理得以解决。所以为了解决信息安全问题的弊端, 人们开始实行信息安全管理, 并且建立了信息安全管理系统。信息安全管理系统是通过国家制定的相关法律、信息技术人员对信息的安全维护以及信息安全管理手段组成的。现今, 信息安全事件连续不断的出现, 使得信息安全管理开始受到人们的重视, 特别是管理者开始意识到了信息安全管理中存在的问题以及信息安全管理的重要性。所以通过本文对信息安全管理相关问题的介绍和分析, 人们就可以了解到信息安全管理是当今不可忽视的话题。

1 信息安全管理的方法和手段

信息安全管理的方法可以说是信息安全管理的理论基础, 信息安全管理的手段是对信息安全管理方法的落实, 方法和手段是信息安全管理不可或缺的两件法宝。在信息安全管理中, 为了达到信息安全管理的目的, 让信息安全管理工作能够有序开展而采用的手段, 这就是信息安全管理的方法。信息安全管理方法的系统是通过国家法律实行信息安全行政管理的方法结合经济方面和宣传方面的信息安全管理方法形成的。

通过国家法律实行信息安全管理的方法是指信息管理者在国家规定的法律范畴内, 采取行政手段对信息安全实行有效管理, 并且信息管理者在信息安全管理中具有法律依据和执法能力。同时, 这种信息安全管理方法在各级信息管理部门中同样适用。

经济方面和宣传方面的信息安全管理方法其实指的是在社会经济发展中, 多注重涉及信息安全基础设施的投资与建设, 注重信息安全方面的专业技术人才和信息安全管理方面的专业人才的培养。由于大多数人对信息安全意识淡薄, 这就导致了人们信息存在安全隐患, 所以需要加强对人们的信息安全宣传教育, 通过宣传和教育让人们体会到信息安全的重要性。这就是在经济方面和宣传方面实行信息安全管理的方法。

信息安全管理的手段主要是对信息安全管理的方法实践, 它可分为两种手段, 第一种是专业技术人员对信息的管理手段, 第二种是具有执法能力的行政人员对与信息安全有关的人员管理。第一种信息安全管理手段是将自动进行信息资源安全管理的系统实行专业技术人员管理, 对保密性高的信息资源采用密钥逐层安全管理, 这样就可以保证信息资源在网络中的安全。第二种信息安全管理手段是相对于信息安全管理中的各层人员而言的, 它主要是发挥信息安全管理方案的执行力和信息安全人事管理的职能。在制定的信息安全管理方案中, 信息安全管理人员根据管理方案中的要求, 履行各自的职责。信息安全人事管理主要是对信息安全管理中各层人员进行任用、监督和调动, 因为信息安全管理人员在信息安全的保密方面有着重要作用, 所以必须实行信息安全管理人员的人事管理。

2 信息安全管理的内容

信息安全管理的内容包括四个:第一个是关于信息设施的安全管理;第二个是关于信息安全的管理;第三个是关于信息安全管理运行的安全管理;最后一个是关于信息安全的风险管理。这四个信息安全管理所涉及的管理不仅是信息管理的全部内容, 而且还是应对信息安全问题的管理措施。

信息设施的安全管理主要分为三个方面:一是对于网络的安全管理;二是对于保密设备的安全管理;三是对于硬件设备和场地设备的安全管理。网络的安全管理指的是高自动化下信息安全管理系统和网络运行安全管理系统的总和, 而且它涵盖的安全管理非常多。保密设备与硬件设备和场地设备息息相关。由于保密设备隐藏在硬件设备和场地设备中, 所以必须做好硬件设备和场地设备的防破坏、防盗窃的安全管理工作。

信息的安全管理主要分为四个方面:一是对于软件的安全管理;二是关于技术性文档的安全管理;三是对于存储设备的安全管理;四是对于上述提到的密钥进行安全管理。软件设施的安全管理包括对操作系统安全等级的提高, 对数据库系统的加密处理, 以及网络协议、应用软件和管理软件的安全管理。因为技术性文档里面主要有信息安全管理的核心机密不能被泄露, 所以就需要密钥层层加密管理。由于存储设备的多样化, 不同的存储设备所需要的安全管理要求不同, 所以就导致了存储设备安全管理要求也多样化。密钥管理就是对密钥的开发过程, 使用过程进行安全管理。

信息安全管理中运行的安全管理主要分为两个方面, 一个是对在信息安全管理运行过程中出现的安全问题进行安全审计, 另一个是对信息安全管理运行中出现的故障进行安全恢复。安全审计就是对信息安全管理中出现的问题进行统计, 并对存在的问题及时处理, 同时安全审计可以分为人工安全审计和自动安全审计。安全恢复是在信息安全管理中出现故障或是受到破坏时, 对故障或破坏进行系统自动恢复, 并且会对系统进行安全维护。

信息安全管理中的风险管理指的是, 在信息资源遇到安全风险时, 风险管理就会对风险进行评估, 如果风险较大就需要进行风险控制将风险降低, 使信息安全管理者可以将风险及时化解, 从而保证信息资源的安全。

3 结语

通过上述介绍, 人们可以了解到信息安全管理的方法、手段和内容, 同时人们也会加强信息安全管理意识。总之, 信息安全管理不仅需要信息技术专业人才, 而且还需要信息安全管理人员对信息安全进行管理。可见, 信息安全管理是当今不可忽视的话题。

参考文献

[1]谢宗晓, 林润辉, 王兴起, 等.用户参与对信息安全管理有效性的影响——多重中介方法[J].管理科学, 2013, 26 (3) :65-76.

[2]单磊敬, 郭晗, 刘继良, 等.信息安全管理工具包的设计与应用[J].医疗卫生装备, 2013, 34 (2) :50-52, 81.

浅析信息安全保障体系 篇10

0、信息安全现状及原因分析

自信息化建设伊始, 每个单位都会从管理和技术两个层面重视信息化安全建设工作:在管理层面, 主要会从完善建章立制、组建管理机构、配备专业人员、落实资金投入等方面入手, 搭建起信息化安全建设的日常管理和运维架构, 为确保信息化安全提供必需的组织保障;在技术层面, 主要是从部署信息安全产品、采用最新信息安全技术等方面入手, 构建起信息化安全的基本防护体制, 为确保信息化安全提供必要的技术支撑。

通过上述两个方面的有机结合, 基本抵御住了大部分的信息安全威胁, 保障了各单位信息化的基本安全。但是, 现实情况残酷地告诉我们, 我国整体的信息化安全防护效果还是差强人意, 一些信息安全事件仍有发生, 电脑感染病毒成为“肉鸡”等安全事件不时被报道。根据《2010年全国信息网络安全状况与计算机病毒疫情调查分析报告》的不完全统计, 2009年5月至2010年5月, 54%的被调查单位发生过信息网络安全事件, 比上一年上升5%。

为什么“安全产品部署了一堆、安全制度制订了一批, 安全问题和隐患却没有得到很好地改善”的现象依然会存在呢?笔者认为主要原因在于以下两个方面:

0.1信息安全防护能力较弱

我国信息化工程自上世纪九十年代开始建设以来整体信息化率不断提高, 信息化程度基本普及。但是信息化理论、专业人才等方面与世界平均水平还有较大差距, 特别是对信息化安全的认识严重不足, 信息化安全防护水平和能力较弱。而信息化建设是一个循序渐进的、长期发展的过程, 信息化安全防护会紧密地伴随全过程的每一个环节。要实现持续、有效的信息化安全防护, 就需要不间断的信息化投入 (包括知识技术、专业人才、专项资金等) , 但是这种投入的“投入产出比”只能通过其它部门的“收益”来间接体现, 直观上几乎感觉不到信息化投入带来的“好处”所在, 这就很大程度上制约了对信息化投入的积极性和主动性, 几乎每个单位都存在信息化投入滞后的情况, 也就一定程度上导致我国目前整体信息化防护能力较差。

但是信息化技术的发展日新月异, 新威胁、新风险不断推陈出新, 缺少必要的、及时的信息化投入将进一步削弱信息化安全防护能力。

0.2信息安全制度执行力偏弱

信息化技术造成的危害和损失不会像火灾、台风、地震等自然灾害那样直观明了, 它只是通过应用软件的“数据异常”等现象来间接的、隐蔽的体现, 这就容易给人以错觉感——信息化系统“没有”安全问题, 也就容易给人以麻痹思想, 不能及时树立起必要的信息安全意识。而且还容易导致员工对信息安全防护措施的不理解, 甚至产生抵触情绪, 加之国人的“法规遵从”思维还未完全地建立起来, 就易造成已有的信息安全规章制度总是不能严格执行到位, 严重影响信息安全措施的实施效果和防护力度。

当然, 除此之外, 还可列举很多其它因素。但究其根本, 在于“重病毒防护, 轻安全管理”的传统信息安全防护理念和措施已经无法适应信息化技术日新月异的发展趋势, 必须从多方面入手, 建立一个涵盖信息化各层面的立体信息安全保障体系, 才能及时有效的保障当前的信息化安全。

1、信息安全保障体系概述

信息安全保障体系, 就是由信息系统、信息安全技术、人、管理、操作等元素有机结合, 能够对信息系统进行综合防护, 保障信息系统安全可靠运行、保障信息的“保密性、完整性、可用性、可控性、抗抵赖性”的具有“WPDRR”能力的综合性信息系统防护体系。

简而言之, 这个保障体系就是以“WPDRR”模型 (即:预警Warning、保护Protect、检测Detect、响应React、恢复Restore) 为基础, 从技术和管理两个层面出发, 分“信息安全策略”、“信息安全组织”、“信息安全管理”和“信息安全技术”四个领域来制定保障信息安全的一系列规范。

1.1信息安全策略体系, 是信息安全保障体系的核心内容, 其它各部分都是以此策略体系为目标进行建设与实施;

1.2信息安全组织体系, 是安全工作的管理和实施体系, 监督各种安全工作的开展, 协调各部门在安全实施中的分工和合作, 保证安全目标的实现。

1.3信息安全管理体系, 是对安全生命周期中各个安全环节的要求, 包括安全工程管理机制, 安全预警机制、定期的安全风险识别和控制机制、应急响应机制和定期的安全培训机制等。

1.4信息安全技术体系, 是信息安全保障体系的重要支撑, 是对实现信息安全的具体措施, 包括了身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复。

通过信息安全保障体系的实施, 能够为各单位搭建起一个符合自身情况的、系统的、全面的信息安全保护体制, 能有效地提高各单位防范信息安全风险和安全隐患的能力。但是信息安全保障体系的内容比较抽象, 实施起来有些难度。如何构建一个符合自身实际状况的信息安全保障体系就成为一道摆在每个单位面前的难题。笔者认为, 借助信息安全等级保护制度不失为一条有效的、便捷的途径, 因为信息等级保护制度的内容具有很强的指导性和可操作行, 从某种程度上来说就像是信息系统安全保障体系内容的具体化体现。

2、信息安全等级保护

信息安全等级保护制度是国家根据“我国国民经济和社会信息化进程全面加快, 网络与信息系统的普及程度越来越高, 业已成为国家的关键基础设施”的现状, 为确保国家整体信息安全颁布的一系列用于指导全国各行各业信息安全保卫工作的条令条例形成的一项国家制度。

这个制度的核心是信息安全等级保护。所谓信息安全等级保护, 就是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护, 对信息系统中使用的信息安全产品实行按等级管理, 对信息系统中发生的信息安全事件分等级响应、处置。

信息等级保护将各行各业的信息系统根据其重要性和危害性进行按等级划分, 并进行差异化等级管理, 同时从技术和管理两个方面提出了各个级别的信息系统应当具备的安全保护能力和具体的措施要求。

2.1技术类安全要求, 通常与信息系统提供的技术安全机制有关, 主要是通过在信息系统中部署软硬件并正确地配置其安全功能来实现。包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等几个层面。

2.2管理类安全要求, 通常与信息系统中各种角色参与的活动有关, 主要是通过控制各种角色的活动, 从政策、制度、规范、流程以及记录等方面作出规定来实现。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运行维护管理等几个方面。

3、等级保护与安全保障体系的结合

借助信息安全风险分析可知, 企业信息系统的安全需求是全方位和整体的, 需要从技术、管理等方面进行全面的安全设计和建设, 有效提高企业信息系统的防护、检侧、响应和恢复能力, 以抵御不断出现的安全威胁与风险, 才能保证系统长期稳定可靠的运行。

通过对比可以发现, 信息安全保障体系与信息安全等级保护制度的内容在技术和管理方面是互相对应的:

3.1信息安全策略体系

信息安全策略 (或可称为安全方针) , 是一个单位结合自身情况提出来的信息安全目标、框架和总体要求, 它被用于指导信息安全工作的开展, 而且遵循动态发展的规律。而这也是信息等级保护制度的基本要求。

目前, 很多单位对制定信息安全策略 (或安全方针) 认识不足, 没有制定一套合理的、有效的信息安全策略 (或安全方针) 。即使制订了, 也没有得到很好的遵从, 而且常常是若干时间内“一成不变”, 与本单位信息化应用的更新步调和信息化安全技术的发展趋势很不匹配, 无法适应不断变化的信息安全环境, 已经成为信息化安全的一大隐患。

各单位应该按照信息等级保护制度的“管理要求”中的“安全管理制度”规定, 制定并发布符合自身现状的信息安全策略及安全方针, 并根据自身发展现状及时地评审和修订该策略。

3.2信息安全组织体系

信息安全组织, 就是要建立一个信息安全决策、管理、执行以及监管的机构, 明确各级机构的角色与职责, 完善信息安全管理与控制的流程。

几乎每个单位都成立了一个信息安全工作的领导机构, 但由于各种原因, 很多此类机构的实际工作效率不高, 未能发挥应有的效能, 各部门的分工合作也不太顺畅, 拖累了单位整体安全目标的实现。

各单位应该按照信息等级保护制度的“管理要求”中的“安全管理机构”规定, 建立适合自身各级系统的安全管理机构, 完善岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等各项规定, 提高工作效率和监管能力。

3.3信息安全管理体系

信息安全管理, 就是一个单位在信息安全组织、运作、技术体系标准化、制度化后形成的一整套关于信息安全的管理规定。

由于管理知识和经营理念的偏差, 很大部分单位对于信息安全工程的管理、安全风险识别和控制机制、应急响应机制等内容的理解和掌握能力较差, 抵御不断出现的安全威胁与风险的水平较低, 无法确保系统长期稳定可靠的运行。

各单位应该按照信息等级保护制度的“管理要求”中的有关规定, 大力普及信息安全知识, 增强员工信息安全意识, 提高信息系统安全建设和运维管理水平。

3.4信息安全技术体系

信息安全技术, 是指能实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能的各种成熟的信息安全技术与产品。

由于员工素质和专业技术能力的参差不齐, 使得相当部分单位的信息化工作人员对于信息安全知识的理解不透彻, 过于依赖防火墙、防病毒系统、入侵检测系统等安全产品的部署, 而且这种部署很多时候只是简单的堆叠, 产品之间只是起到简单的“加”功效, 没有根据实际状况融合成一个整体而达到“乘”效应。

各单位应该按照信息等级保护制度的“技术要求”, 根据信息系统级别的差异, 制定合理的安全防护方案并依据方案有效规划安全产品布局, 加大安全技术和措施的融合力度, 尽可能实现安全效能的最大化。

4、等级保护实施原则

信息等级保护制度的“分级保护”原则, 有效地解决了信息安全保护“因一次性投入过大而无法及时到位”的问题, 也有效地解决了信息安全保护建设中“或者因超前建设而浪费, 或者因投入过低而不足”的现象, 实现了保护和投入的有效统一, 促进了信息安全防护能力的提高。

信息等级保护制度的“共同保护”原则, 规定了信息安全保障工作并不全部是信息系统单位自身的责任, 而是国家、行业主管、各单位本身以及社会组织共同承担的职责, 而且需要在国家有关等级保护管理机关的指导和监督下完成, 具有国家强制性的特点, 有效地解决了信息安全制度执行力偏弱的现象。

要想真正利用好等级保护制度, 在具体实施过程中需要严格遵循以下原则:

4.1熟悉信息安全等级保护制度是基础

虽然信息等级保护制度的实施在2007年就开始启动了, 但到目前为止真正了解、理解、掌握信息等级保护制度内容的人员还不多。所以首要工作是对各单位信息部门的从业人员进行信息等级保护制度内容“扫盲”和“入门”的培训工作, 要积极通过各种形式的学习, 普及信息等级保护制度的内容, 让他们成为“握有入门钥匙”的“种子”人员, 并通过“以点带面”的方式推广信息等级保护制度。

4.2正确的系统定级是关键

《信息系统安全保护等级定级指南》中阐述了如何对信息系统的安全级别进行定级, 并提供了量化流程和方法。各单位信息部门应该以此指南为蓝本认真研读, 结合本单位的实际情况, 制定出适合本单位现状的具体定级方法和指导意见, 并根据该具体定级方法和指导意见确定好本单位全部信息系统的正确等级。

4.3准确的风险评估是保障

信息系统安全风险评估是指依据国家有关信息安全技术标准, 对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程, 是信息安全保障体系建立过程中的重要的评价方法和决策机制。

及时准确的风险评估, 将使得各单位对其自身信息安全的状况作出准确的判断, 增强信息安全保障体系建立的准确性。

4.4持续的信息安全建设和运维是核心

完成上述步骤后, 就可参照《信息系统安全等级保护基本要求》中针对已经确定了安全保护等级的信息系统, 提出的具体保护要求, 进行必要的信息安全建设和运行维护, 并且持续不断的完善, 这样才能真正建立起一套与本单位相适应的、完备的安全保障体系。

结束语

由于各单位业务模式和信息技术仍在不断的更新和发展, 各单位自身的信息系统始终处在不断变革的过程中, 新的安全漏洞和威胁不断出现, 信息资产仍会不断出现新的安全脆弱点, 这些因素都可能会影响到整个信息系统的安全风险状态和安全等级。所以建立一套动态的安全状况跟踪和监控机制是非常必要的。在建立等级保护体系后, 还需要一个有效的、持续性的验证方法, 才能确保信息系统在不断发展的同时保证符合信息安全等级保护制度的基本要求, 才能不断地完善信息安全保障体系。

参考文献

[1]江西省公安厅网络安全保卫总队, 《信息安全等级保护工作资料汇编》, 2009-10-15

[2]庞南、刘旸、方明, 《信息安全管理教程》, 2007-1

[3]江西神舟信息安全评估中心, 《信息安全等级保护工作实用教材》, 2011-5

信息安全从管理到治理 篇11

新标准更关注业务

IT治理的驱动力意在从董事会等治理层面确立IT的价值和投资的决策机制，确保IT战略与业务战略的一致性，革新性地驱动业务的发展。信息安全管理新标准从风险与成本的平衡过渡，到要定期报告信息安全管理绩效，反映了信息安全管理标准的发展进入成熟期，也反映了治理层面更加重视对信息安全投入的预期监控，同时对风险管理的度量也是相关方、管理层共同关心的话题。

信息安全的目标是与业务的发展目标高度一致的，因此新标准要求信息安全风险管理要聚焦信息，而信息是融合在整个业务流程中的。新的标准摒弃了原来识别资产、资产威胁与脆弱性的方法论，肯定了管理层面以业务价值为基础，识别信息、确定信息的价值，也更方便与其他以业务流程为基础的ISO管理标准相融合。

由于更加关注业务，新标准要求对业务、对组织目标的理解，从内外部环境包括宏观政策、技术发展、行业动向、微观的组织环境来分析，此外还要考虑环境因素对业务的影响和对信息安全的要求。

信息安全风险在新标准里变得更加生动、中性。新标准要求定义风险责任人，这个责任人更可能是业务的负责人或某项具体活动的负责人，而不仅仅是IT人员。对信息安全风险的偏好与态度完全与组织的全面风险管理框架相融合。

IT技术对新标准的影响

云技术的广泛应用、外包业务的兴起，让供应链的安全风险管理从组织的战略层面到日常运作层面都要进行识别、利用、控制。新标准新增供应链关系管理，关注供应链关系中的信息安全和服务商交付过程的信息安全。

同时，大数据的兴起使得数据泄露的风险加大，标准将加密控制从一个控制目标项上升为一个控制域；此外，移动互联影响着人们的生活和办公，新标准也新增了移动设备使用的安全策略。

在组织层面，除了日常运作，管理者还需特别考虑项目的信息安全管理，这也是新增控制项。同时，完善了系统开发的全生命周期信息安全管理，包括需求分析、开发环境、测试数据保护、测试验收、变更管理、开发外包管理等控制项。

新技术和风险点的出现，使得风险处理采取的控制措施不再拘泥于附录A。附录A仅作为基本必须的选项（见标准条款 6.1.3c）。

从结构来说，新版标准与其他ISO系列标准的框架完全一致，遵从“ISO导则83”，这是ISO管理体系认证标准的基本框架，方便与ISO其他管理体系的整合。

作者简介

潘蓉，毕业于清华大学计算机系，曾在英国标准协会带领团队，为世界500强企业及国内金融机构提供信息安全、IT运维、业务连续性、风险管理、质量内控的培训和认证服务。目前作为国家IT治理标准的核心成员，致力于IT与业务的融合，推动IT治理，推广金融创新IT架构，使得更多的组织得益于IT创新推动力，并有效应对风险。还曾担任境外上市公司信息安全主管、ITSS IT治理标准组核心成员、清华大学建设管理系工程担保与建筑市场治理研究中心兼职研究人员、上海市软件行业协会软件服务专委会副主任、英国标准协会兼职主任审核员等职务。

信息安全管理体系 篇12

(一) 识别风险的能力有待提高。

改革开放之后, 我国的经济和社会呈现飞速发展状态, 尤其是近十年来银行业的信息化水平和自动化水平得到大幅度提升。但是伴随着新形势的到来, 银行面临着越来越多的外部风险, 电子商务的盛行和网络资讯的发达使得网络渠道的业务比例提升, 银行的信息安全面临着严峻的外部风险挑战。这使得银行业本身乃至整个社会对财产和信息的安全指数要求越来越高, 在内外部因素的影响下, 银行业加强信息安全风险管理是必然和必要的。但是现阶段, 银行业信息安全风险管理受人才、技术、体系乃至设备的制约, 整体的风险识别水平还比较低, 亟待提高。

(二) 信息安全风险形式严峻。

我国银行业面临的信息安全风险相较于其他行业来说比较严峻, 银行系统的开放性和电子商务数量和规模的大幅度增长使得其受到攻击的可能性大幅度上升。银行在发展的过程中为了更大程度地满足客户的需求, 往往对信息技术存在着严重的依赖, 使得信息系统受到木马攻击、病毒侵害和钓鱼网站危害的可能性大大增加。

二、银行信息安全风险管理的建议

(一) 银行要重视信息安全风险识别体系的构建。

信息安全风险识别是一项系统的工程, 银行要想及时、完整地识别出其在生产经营过程中的风险, 就必须重视信息安全风险管理识别体系的建设, 从起点上提升系统的整体安全系数标准。银行要定期对信息安全风险管理体系的可靠性进行评估, 严格按照全面风险管理的原则对风险进行识别和应对。

(二) 银行要建立重大信息安全风险预警和应急方案。

重大信息安全风险预警和应急方案能使得银行的信息风险保持在可控的范围之内, 在新的金融时期, 完善的银行信息安全应急方案给金融系统的稳定上了一层重要的保险。完善的银行信息安全风险预警和应急方案是一种事前控制措施, 是银行信息安全风险管理的重要举措。

(三) 国家要加大银行信息安全犯罪的惩治力度。

国家相关职能部门应该加大力度对信息安全犯罪进行打击。相关部门应该从根本上对这种犯罪进行严肃管理, 将常规化管理落实下去, 坚决杜绝形式化管理, 一旦发现问题要给予严厉的惩罚。对于银行信息安全的重大犯罪要严惩不贷, 对网络金融犯罪要高压打击。这样整个银行系统才会意识到信息安全风险管理的重要性, 注重维护自身的信息安全。

(四) 建立银行信息安全风险控制机制。

首先, 建立完善的风险责任机制。重点在于在银行信息安全风险控制体系要将各个环节各个部门的责任进行细化, 做到每一个环节都有专门人员对重要事项进行负责, 做到对风险负责、对安全负责。其次, 建立完善的风险通报机制。通报包括对上级通报和对下级通报, 对上级通报要客观真实准确, 对下级通报要严肃认真, 既不夸大也不隐瞒。最后, 建立银行信息安全风险管理团队。人才是银行信息安全风险管理的关键, 要充分发挥人才的作用, 银行信息安全风险管理团队是银行信息安全风险管理的主力军, 他们在银行信息安全风险的识别、评估、应对等过程中扮演着十分重要的角色。