在實際工作中如何做好信息安全的探討

許振華 張婭鋒

摘要:信息技術在飛速發展,一方面給企業帶來了巨大的效益;另一方面也帶來非常大的安全風險。目前煙草行業正在進行信息安全體系的構建。本文對實際工作中碰到的一些問題進行分析,提出了相應的解決辦法,包括信息資產,安全審計,網絡設備,安全培訓,物理安全,應用系統等方面。通過這些問題分析,對建立完善的信息安全體系做出補充。

關鍵詞:信息技術安全

中圖分類號:TP392 文獻標識碼:A 文章編號:1672-3791(2012)04(c)-0023-01

目前全球處在一個信息社會中,信息系統的建設逐步成為各個企業不可或缺的基礎設施,然而在享受信息系統帶來的便利的同時,也面臨的信息安全的嚴峻考驗。信息安全是指以防止被黑客惡意攻擊和意外事故為目的,對信息基礎設施、應用服務和信息內容的保密性、完整性、可用性、可控性和不可否認性進行安全保護。它包含了信息環境、信息網絡和通信基礎設施、媒體、數據、信息內容、信息應用等多方面的安全需求。信息安全管理的發展趨勢是以建立安全風險管理為導向的整體安全體系來面對來自各方面的威脅,實際工作中,我們受保護的資源可能會受到來自于黑客攻擊,內部威脅,員工誤操作,技術事故,病毒,自然災害等多方面的威脅,因此一般的安全體系內容應該包括強調IT的安全管理和安全技術的平衡;每年安全經費預算基于風險評估結果;集成且統一的安全體系管理架構、技術架構;基于國際標準的完善的安全策略、標準和流程;部署了必要的安全工具、應急響應機制晚上且定期演練;預防為主,防止結合。

經過多年的發展,各個企業對信息技術的依賴越來越高,也使信息技術的風險變的異常突出,信息安全保障的形勢也越來越嚴峻。在實際工作中就需要從多個方面來做好信息安全工作。

1信息安全制度問題

完整的信息安全體系首先是要建立一項完備的信息安全制度,要參照國家信息安全方面的法律法規,結合煙草行業的實際,制定出一套安全制度,讓涉及到信息安全方面的工作有法可依。在制定制度的過程中,應該要分三個階段進行。在制度制定前期,需要參考近期的安全風險評估報告和審計報告,以便了解當前信息安全的需求主要集中在哪些方面。同時還要自上而下建立一個信息安全組織架構,確認相關人員的職責。在制度制定中期,制度的制定過程中,要從安全控制措施,檢查機制和執行情況幾個方面來考慮,其中安全控制措施要分兩個方面:一個是對外部所有方式的信息交換方式進行管理,以防止信息的泄露、篡改、丟失等;另外一個對內部用戶的訪問權限進行定期檢查以及對信息資產清單的及時維護。在制度制定后期,形成正式的制度規范后,應當進行常規的測試以及更新演練,以保證其有效性。

2信息類資產的問題

現在信息類的資產非常之多,包括軟件資產和硬件資產兩方面,一般都是由專人進行管理。當信息類資產增加時,通常只要根據規定的操作規范進行操作,及時更新清單即可。但是當信息類資產報廢時,特別是電腦等IT硬件設備報廢時,由于缺少對存儲的敏感信息進行專業處理的手段,只能先從資產清單上進行更改,而對實物處理起來經常無所適從。針對此問題,我認為應該對敏感類信息加以準確定義,一旦確認了某硬件存在敏感信息,則應該采用物理銷毀的方法,以免數據泄漏。

3安全審計的問題

我們需要應用一些合適的工具,對網絡進行審計,及時發現整個網絡中的動態,一旦發現網絡入侵和違規行為,就可以采取手段進行控制,同時還可以對運行網絡中的重要服務器和網絡設備的安全配置管理進行檢查,以根據查到的問題及時的進行整改。但這還遠遠不夠,我們應該制定一個定期更新和檢查的計劃,以應對不斷變化的信息安全方面的威脅,還要制定相應的處罰規定,對違規的行為進行處罰,以起到警示的作用。

4網絡設備的問題

根據等級保護的規定,目前我們對網絡上不必要的服務和端口進行關閉,并進行安全域的劃分和訪問控制策略的制定,同時也開啟了網絡設備的日志審計功能,為日后的數據分析提供了便利。但在實際操作中確存在一些問題,當我們把認為不必要的服務關掉以后,會導致一些應用不正常,究其原因,是在軟件開發過程中調用到了這些端口,但當初開發商并沒有留意。我覺得信息安全是重中之重,但是同時也要兼顧的日常的工作,避免對正常工作造成影響。根據這個問題,我覺的應該從源頭開始處理,在以后軟件開發的過程中,涉及到網絡通訊等功能的時候,需要把對應端口和服務的主要功能詳細的列出,以便于我們在網絡設備進行安全管理配置。

5安全培訓的問題

目前各類服務器和網絡設備都進行了比較全面的防護,來自信息安全方面的威脅也有效地減少了,而終端設備的問題還是比較大。一方面我們對內而言還處于基本不設防的狀況,內部安全管理缺乏有效的技術手段;另一方面是由于操作人員的信息安全意識不強。目前對終端設備的防護類軟件正在逐步測試使用,但是對操作人員的信息安全知識培訓還遠遠不夠。做好員工的培訓工作,可以提高管理層和員工的信息安全與風險防范意識,認真落實與規范信息安全制度的操作流程,使信息安全體系得到良好而且可持續的發展。培訓工作可以從三個方面展開;首先,施行管理層的安全意識輔導;其次,對技術人員進行安全技能強化培訓,熟練日常操作和維護技能以及處理突發性事件的能力;再次加強普通員工的安全意識培訓,讓全體員工意識到信息安全工作的重要性,共同維護網絡和信息安全。

6應用系統的問題

應用系統的主要問題是信息的泄密。現在在用的比較好的方法就是權限的控制,根據崗位來設置相應的權限,當實際操作人要越權使用某些功能模塊時,需要得到部門領導的確認,再授予相應權利。但這并不能很好的進行控制,實際工作中,由于一些員工安全意識不強,導致自己賬號密碼被他人使用。因此,我覺得應用程序應該加強操作痕跡的記錄,詳細記錄操作賬號信息,ip地址,操作時間等信息。一旦出現問題,也可以有跡可循。目前只有部分應用系統可以查到比較完整的操作記錄,需要進行完善。

以上問題是在日常工作中發生的和信息安全緊密相關的一些問題,通過不斷收集問題,整理問題,解決問題,逐步完善信息安全體系。信息安全體系形成后,還要健全長效的保障機制,形成科學完善的安全檢驗制度,定期進行信息安全檢驗。做到對安全隱患及時發現,及時消除,以持續有效的方法全方位的保證信息系統的安全。總之,企業信息系統的安全問題將會越來越受到人們重視,其不但是一個技術難題,同時更是一個管理的難題。因此,企業必須綜合考慮各種相關因素,制定合理的目標和規劃,使信息安全技術隨著網絡技術和通信技術的發展而不斷得到完善。