许振华 张娅锋

摘要:信息技术在飞速发展,一方面给企业带来了巨大的效益;另一方面也带来非常大的安全风险。目前烟草行业正在进行信息安全体系的构建。本文对实际工作中碰到的一些问题进行分析,提出了相应的解决办法,包括信息资产,安全审计,网络设备,安全培训,物理安全,应用系统等方面。通过这些问题分析,对建立完善的信息安全体系做出补充。

关键词:信息技术安全

中图分类号:TP392 文献标识码:A 文章编号:1672-3791(2012)04(c)-0023-01

目前全球处在一个信息社会中,信息系统的建设逐步成为各个企业不可或缺的基础设施,然而在享受信息系统带来的便利的同时,也面临的信息安全的严峻考验。信息安全是指以防止被黑客恶意攻击和意外事故为目的,对信息基础设施、应用服务和信息内容的保密性、完整性、可用性、可控性和不可否认性进行安全保护。它包含了信息环境、信息网络和通信基础设施、媒体、数据、信息内容、信息应用等多方面的安全需求。信息安全管理的发展趋势是以建立安全风险管理为导向的整体安全体系来面对来自各方面的威胁,实际工作中,我们受保护的资源可能会受到来自于黑客攻击,内部威胁,员工误操作,技术事故,病毒,自然灾害等多方面的威胁,因此一般的安全体系内容应该包括强调IT的安全管理和安全技术的平衡;每年安全经费预算基于风险评估结果;集成且统一的安全体系管理架构、技术架构;基于国际标准的完善的安全策略、标准和流程;部署了必要的安全工具、应急响应机制晚上且定期演练;预防为主,防止结合。

经过多年的发展,各个企业对信息技术的依赖越来越高,也使信息技术的风险变的异常突出,信息安全保障的形势也越来越严峻。在实际工作中就需要从多个方面来做好信息安全工作。

1信息安全制度问题

完整的信息安全体系首先是要建立一项完备的信息安全制度,要参照国家信息安全方面的法律法规,结合烟草行业的实际,制定出一套安全制度,让涉及到信息安全方面的工作有法可依。在制定制度的过程中,应该要分三个阶段进行。在制度制定前期,需要参考近期的安全风险评估报告和审计报告,以便了解当前信息安全的需求主要集中在哪些方面。同时还要自上而下建立一个信息安全组织架构,确认相关人员的职责。在制度制定中期,制度的制定过程中,要从安全控制措施,检查机制和执行情况几个方面来考虑,其中安全控制措施要分两个方面:一个是对外部所有方式的信息交换方式进行管理,以防止信息的泄露、篡改、丢失等;另外一个对内部用户的访问权限进行定期检查以及对信息资产清单的及时维护。在制度制定后期,形成正式的制度规范后,应当进行常规的测试以及更新演练,以保证其有效性。

2信息类资产的问题

现在信息类的资产非常之多,包括软件资产和硬件资产两方面,一般都是由专人进行管理。当信息类资产增加时,通常只要根据规定的操作规范进行操作,及时更新清单即可。但是当信息类资产报废时,特别是电脑等IT硬件设备报废时,由于缺少对存储的敏感信息进行专业处理的手段,只能先从资产清单上进行更改,而对实物处理起来经常无所适从。针对此问题,我认为应该对敏感类信息加以准确定义,一旦确认了某硬件存在敏感信息,则应该采用物理销毁的方法,以免数据泄漏。

3安全审计的问题

我们需要应用一些合适的工具,对网络进行审计,及时发现整个网络中的动态,一旦发现网络入侵和违规行为,就可以采取手段进行控制,同时还可以对运行网络中的重要服务器和网络设备的安全配置管理进行检查,以根据查到的问题及时的进行整改。但这还远远不够,我们应该制定一个定期更新和检查的计划,以应对不断变化的信息安全方面的威胁,还要制定相应的处罚规定,对违规的行为进行处罚,以起到警示的作用。

4网络设备的问题

根据等级保护的规定,目前我们对网络上不必要的服务和端口进行关闭,并进行安全域的划分和访问控制策略的制定,同时也开启了网络设备的日志审计功能,为日后的数据分析提供了便利。但在实际操作中确存在一些问题,当我们把认为不必要的服务关掉以后,会导致一些应用不正常,究其原因,是在软件开发过程中调用到了这些端口,但当初开发商并没有留意。我觉得信息安全是重中之重,但是同时也要兼顾的日常的工作,避免对正常工作造成影响。根据这个问题,我觉的应该从源头开始处理,在以后软件开发的过程中,涉及到网络通讯等功能的时候,需要把对应端口和服务的主要功能详细的列出,以便于我们在网络设备进行安全管理配置。

5安全培训的问题

目前各类服务器和网络设备都进行了比较全面的防护,来自信息安全方面的威胁也有效地减少了,而终端设备的问题还是比较大。一方面我们对内而言还处于基本不设防的状况,内部安全管理缺乏有效的技术手段;另一方面是由于操作人员的信息安全意识不强。目前对终端设备的防护类软件正在逐步测试使用,但是对操作人员的信息安全知识培训还远远不够。做好员工的培训工作,可以提高管理层和员工的信息安全与风险防范意识,认真落实与规范信息安全制度的操作流程,使信息安全体系得到良好而且可持续的发展。培训工作可以从三个方面展开;首先,施行管理层的安全意识辅导;其次,对技术人员进行安全技能强化培训,熟练日常操作和维护技能以及处理突发性事件的能力;再次加强普通员工的安全意识培训,让全体员工意识到信息安全工作的重要性,共同维护网络和信息安全。

6应用系统的问题

应用系统的主要问题是信息的泄密。现在在用的比较好的方法就是权限的控制,根据岗位来设置相应的权限,当实际操作人要越权使用某些功能模块时,需要得到部门领导的确认,再授予相应权利。但这并不能很好的进行控制,实际工作中,由于一些员工安全意识不强,导致自己账号密码被他人使用。因此,我觉得应用程序应该加强操作痕迹的記录,详细记录操作账号信息,ip地址,操作时间等信息。一旦出现问题,也可以有迹可循。目前只有部分应用系统可以查到比较完整的操作记录,需要进行完善。

以上问题是在日常工作中发生的和信息安全紧密相关的一些问题,通过不断收集问题,整理问题,解决问题,逐步完善信息安全体系。信息安全体系形成后,还要健全长效的保障机制,形成科学完善的安全检验制度,定期进行信息安全检验。做到对安全隐患及时发现,及时消除,以持续有效的方法全方位的保证信息系统的安全。总之,企业信息系统的安全问题将会越来越受到人们重视,其不但是一个技术难题,同时更是一个管理的难题。因此,企业必须综合考虑各种相关因素,制定合理的目标和规划,使信息安全技术随着网络技术和通信技术的发展而不断得到完善。