评职称或毕业的时候,都会遇到论文的烦恼,为此精选了《信息系统管理中信息安全论文(精选3篇)》,欢迎阅读,希望大家能够喜欢。摘要:随着信息技术的进步与发展,现代企业受到信息化环境的影响越来越明显,在企业的运行管理中,信息技术的应用具有重要价值,包括企业的业务管理、内部控制、工作流程执行等等,都需要通过信息化的手段与技术进行完成。市场的日益复杂带给企业的控制管理许多问题,企业在内控环节中,需要对存在的问題进行集中的研究,应用信息化的手段,强化内控工作。
信息系统管理中信息安全论文 篇1:
关于做好政府机关信息安全等级保护工作的建议
摘要:信息技术的推广应用在给我们带来便利的同时也带来了风险,为了提高我国重要信息系统的安全保护程度,我国启动了信息安全等级保护工作,政府机关的信息系统有自己的特点,该文介绍了几个做好政府机关等级保护工作的建议。
关键词: 信息系统;等级保护;网络空间;定级;建设整改;变更;备案
当今世界,信息技术革命在给全世界人民带来便利的同时也带来了隐患和风险。应该说,我国的信息安全形势非常严峻,发达国家要使我们的网络信息系统瘫痪或盗窃我们的重要信息易如反掌。
纵观国内,信息化的工作流程已取代了传统的手工作业,各行各业的信息系统变得日益庞大和复杂,但我们的安全意识、技术和管理水平却始终不高。有幸的是,我国的信息化管理层早已认清了形势,开始推进我国建设信息安全的自主之路。
2007年,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室四部门联合发文,发布了《信息安全等级保护管理办法》。同年,四部门下发《关于开展全国重要信息系统安全等级保护定级工作的通知》。自此,我国各行各业大规模开展重要信息系统安全等级保护工作的序幕正式拉开。
所谓信息安全等级保护(以下简称“等保”),是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。这里,信息系统是指由计算机及其相关和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息。
本文不讨论关于信息安全产品的分等级管理和信息安全事件的分等级响应,仅就信息系统分等级安全保护开展讨论。
1 背景
信息安全等级保护制度,作为我国的一项重大政策,是各行各业开展重要系统信息安全建设的基础和依据。特别是《信息系统安全等级保护基本要求》(以下简称《基本要求》)的出台,在实践操作层面指导了重要行业的信息安全工作的开展。应该说无论是技术还是管理,我们都能从《基本要求》中找到建设维护信息系统相应的制度要求。
总的来说,我国信息安全等级保护制度的出台是及时的,有着特别重大和积极的意义,我们所有重要信息系统的建设者、维护者、使用者都应深刻领会,积极响应。在我国的重要行业领域里,严格参照《基本要求》开展等级保护工作,构建信息系统安全壁垒,是我们抵御敌对势力网络攻击和信息战的尚方宝剑。
21世纪的网络空间里,信息安全保卫战是看不见硝烟的战争,任何个人任何单位都不能轻视它,借助这场战争,胜利者将获得经济、政治上的利益,失败者将承受巨大的损失。这是一场隐蔽而持久的战争,我们任何人任何单位都不能放松警惕,我们必须时刻警醒,大量商用的核心信息技术掌握在他国手中,我们所处的地位本就弱势,如果再不重视信息安全,就等于没有任何防护措施任人宰割却不自知。
我们必须在网络空间里构建一道防线,使我们的信息系统不受侵害,而信息安全等级保护制度就是那道抵挡入侵的安全防线。落实好信息安全等级保护制度是我们的职责,也只有参照信息安全等级保护制度来完善和加固我们的信息系统,我们才能更好保护无形却有巨额价值的信息系统资产。
2 政府机关信息化工作的现状
现阶段,我国政府机关的信息系统具有以下一些特点:
1)在我国,政府机关的信息系统一般都是涉及国计民生的重要业务系统,因此,保障这些信息系统安全的需求非常强烈。
2)政府机关的信息系统大多追求稳妥,太先进的设施或软件不会贸然使用,所以信息化水平稍显落后。
3)我国正处在经济快速发展的时期,政策调整非常频繁,导致信息系统需要经常改动以适应政府服务及管理功能的需要。
4)政府机关的资金使用有财政预算和信息化管理部门的限制,一般都是按需设定,按计划采购,预算外的项目很难实施,而且预算都是提前一年设定。所以政府机关的信息安全建设只能按部就班循序渐进,无法一蹴而就。
5)随着近年来政府工作依赖信息化程度的提高,信息系统使用范围越来越广,信息部门工作人员的缺口在增大,人力资源紧张的问题越来越突出。为了弥补人手不足的窘境,信息部门一人多岗的现象非常普遍,而按照信息安全的相关要求,有些工作岗位必须由不同人员担任,这就要考验我们信息部门的管理者水平了。
2 做好等保工作的几点建议
政府机关的信息系统如此重要,现状又如此特殊,我们该如何在政府机关里开展好等保工作,通过等级保护来保障信息系统的正常运行呢?下面我推荐一些做好等保工作的建议。
2.1 思想上真正重视
首先,我们必须真正从思想上重视等保工作,才能在行动上保证等保的有效执行。如果说落实等保工作仅仅因为是国家的政策规定而为之,那么最后往往是敷衍了事的形式主义,等保的实际效果并不能真正体现出来。
对于信息系统安全工作我们丝毫不能松懈,信息安全防护的道路漫长而艰巨,我们必须拿出勇气和决心,坚守防线。实际上,等级保护制度是我国信息管理部门研究制定的自我防护措施,现在重要系统的信息安全事业得到很大程度的重视也是得益于国家等级保护制度的出台。也正因信息安全得到了前所未有的重视,重要系统的信息安全保障水平才得到大幅度的提升。因此,我们必须真正的引入等保,切实严格的按照要求开展等级保护工作。
2.2 做好定级工作
信息系统的安全保护等级分五级,不同的等级相对应的等级保护要求也不同。等级保护的核心思想,就是把重要的信息系统按相应级别保护起来,不同的等级保护级别分别有不同的信息技术建设管理要求。简而言之,定级就是确定信息系统的保护等级。
由于我们每个单位的经费与预算是有限的,每个单位的信息系统又有重要和次要之分,因此,我们必须梳理所有的信息系统,逐一确定相应等级。将有限的预算投入到高保护级别的信息系统安全保障中,才是实际而高效的。如果定级不准,将使重要信息系统得不到应有的保护,或者非重要信息系统占用太多原本就紧张的资源。当然,在实际的工作中,每个单位的情况不同,信息系统具有的风险特点也不同,那就要具体情况具体分析了。
另外,现在很多单位一提到等级保护就认为这是信息部门的工作,与业务没什么关系。但是我认为这种观点是错误的,在等保最关键的定级环节中,责任主体是我们的业务部门也就是信息系统的应用管理方。因为按照规定,信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。所以说一个信息系统受到破坏后将引起怎样的影响,信息部门作为建设运维方是无法得知的,业务部门必须分析相关影响,并确定信息系统的保护级别。
再一个是定级的时间问题,也就是说,什么时候确定信息系统的保护等级。先说新建系统,一般来说,新建信息系统在一开始便应该确定相应的等级,也就是说在信息系统建设之前的业务需求阶段,等级保护级别就应该被确定了。只有明确了信息系统的保护级别,我们才能在项目建设的需求中考虑相应等级需要达到的安全要求,并按相应等级的要求来建设系统。再说在用系统, 因为等级保护制度是近些年才提出来的,而我们使用的信息系统有很多是在等保之前就投入使用的,那么这些在用的信息系统就只能在后期补定保护级别了。
总之,定级工作是等保工作的基础工作,如果不及时定级,后续工作将无法开展。如果定级不准确,将无法按对应的要求来保护信息系统。
2.3 划清信息系统的边界
信息部门应该做的是:正确分析信息系统涉及的设施及范围,实际上,这项工作是具有难度的。由于现在的信息系统都是运行在网络环境中,信息系统的后台数据是交叉使用、相互调用。而定级是根据业务信息及系统服务两者中高的安全等级来决定该信息系统的。所以定级时系统范围的确定就需要慎重考虑了。
但是我认为在等保中贯彻着一种思想,就是“谁主管谁负责,谁运行谁负责,谁使用谁负责”的思想,由于我国国情的特点,一个信息系统在运行过程中可能跨省可能跨市或跨单位。那么此时,我们必须以责任主体来分割信息系统,因为等级保护的责任主体必须有明确的宿主,比如说在上下级级联的信息系统中,信息系统位于上级单位的软硬件设施和数据应该由上级单位管理,位于下级单位的软硬件设施和数据应该由下级单位管理。
2.4 安全建设整改
建设整改工作是等保的核心工作,也是最具技术难度的工作。如果是新建信息系统,前面已经讲到应该在建设之初就由业务部门确定保护级别,然后信息部门可以按照相应级别要求去建设信息系统的安全功能;如果是未经定级就投入使用的信息系统,这些系统多半不会参照等级保护要求来建设安全功能,或多或少都会有不符合等级保护要求的地方。这样的话,我们必须在信息系统补定级之后,按照《基本要求》来对照自查并进行整改。
由于我国政府机关人力、资金等资源的限制,整改工作的压力很大。但很多时候,即使我们了解信息系统所具有的风险点,也不敢轻易尝试操作。一方面,我们的技术人员水平有限,怕操作失误承担不良后果,另一方面,单位资金紧张,没有财力去扩充安全设施;或者,人手紧张,没有足够人员来满足空缺的岗位。
实际上,整改工作确实是需要拿出决心、勇气和智慧的,否则是执行不下去的。比如说打补丁工作,我们可以尝试搭建测试环境,在测试环境中如果补丁不影响系统正常运行,那我们就可以在正式环境中操作该工作,当然,在操作之前我们要做好回退的准备。同样的,关闭不需要的服务和端口也同样可以在模拟环境中先行测试。人手不够,可以尝试一人多岗,互为AB岗,或交叉审计。没有资金采购安全设施,可以通过一些管理策略或人工操作来弥补。
2.5 循环改进
伴随着信息技术的不断升级进步,信息安全保护也不能停滞不前。今天采用的保护措施有效并不意味明天也能有效。所以信息安全保障应该是一项持久永续的工作,只要信息化系统不停止运行,安全保障工作就不能停止,也就是说等级保护工作也必须持续进行。
一个重要信息系统从产生到废止,信息安全等级保护需要贯彻整个生命周期。这样一种工作模式是保障信息系统安全相对有效的方式,需要指出的是,做好等保工作不是一次性的,不可能一劳永逸。比如说,我们按保护级别对信息系统开展了安全整改与建设,在进行等保测评之后,我们需要对测评报告指出的风险或安全差距开展再次的整改与建设;因为重要信息系统需要定期测评,所以在整改之后我们要再次开展等保测评,然后对测评出的问题再整改……
2.6 变更工作
由于信息系统是一种替代手工操作的工作方式或生产工具,这种特殊的使命注定了信息系统不是一成不变的。因此我们必须定期梳理重要信息系统,确认是否有重要信息系统发生了变更,这里的变更应该是全方位的,从纵向来说我们要看信息系统相关的物理环境、硬件设施、软件程序、管理制度、业务流程、业务数据、管理人员等方面是否有变更;从横向来说,我们要看信息系统是否发生了合并、新增、废弃、缩减等等。当变化发生时,我们必须首先确认保护级别是否需要变化,其次才看系统相关的资产或管理是否有变化,并办理更新登记备案。
其中,系统保护等级的变更工作常常是最容易被忽视的。很多人认为信息系统既然在首次被确认了保护级别,就不应当再被改变了。但在实际工作中,我们发现业务需求发生变化的情况太多了,由于我国政治经济文化等各方面都处在迅猛发展的阶段,我们政府机关的政策或服务经常会发生变化,而变化的发生直接体现在信息系统的变更上,所以信息系统功能或被变更或被扩展或被删减是正常而频繁的。那么既然业务系统的功能发生了变化,它的保护等级就有可能会发生变化。所以,为了避免保护等级的不合时宜,重新核定保护级别是必须正视的工作。
2.7 备案
在虚拟的网络世界中,战争已经悄悄的开打了。发达国家陆续都成立了他们的网络空间保卫司令部。我们也不能放任他国在网络世界中随意侵入我国重要领域。因此,我国的信息管理部门必须采取一些措施来保卫重要领域的信息系统,而要想保卫自己的领土就必须了解自己的实力和软肋。所以我们必须让高管理层掌握我国重要信息系统发展的现状,等保工作中的备案便是管理部门获取第一手资料的渠道。
备案登记就是按要求到单位所属的公安机关去登记重要信息系统的信息。我们必须认真对待该项工作,如果我们填报的资料不准确或敷衍了事,将会误导管理部门甚至使国家的战略决策发生偏差。另外,在发生任何重要的变更时,我们都应该及时的办理更改登记,调整备案的相关资料。以便于管理部门了解掌握我国重要领域信息系统的真实状况。只有了解自身的信息化状态,采取合适的应对措施,我国才能在网络空间保卫战中谋求自己的一席之地。
3 结束语
经历着等级保护的洗礼,我们政府机关的信息系统正在积极的改变,信息安全要素已经慢慢渗入到信息化体系的血液中。虽然由于经费、人员、政策等资源的限制,我们的信息系统还不能做到无懈可击、牢不可破,但是随着等级保护工作一轮又一轮的循环展开,我相信不久的将来,重要信息系统的可靠性将再上一个台阶,我们的政府机关在以更优质的服务提供给人们的同时,其安全程度也将更高。
参考文献:
[1] 公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社出版,2010.
作者:乔晓芬
信息系统管理中信息安全论文 篇2:
信息化环境下企业内部控制的问题与对策
摘 要:随着信息技术的进步与发展,现代企业受到信息化环境的影响越来越明显,在企业的运行管理中,信息技术的应用具有重要价值,包括企业的业务管理、内部控制、工作流程执行等等,都需要通过信息化的手段与技术进行完成。市场的日益复杂带给企业的控制管理许多问题,企业在内控环节中,需要对存在的问題进行集中的研究,应用信息化的手段,强化内控工作。基于此,本文对信息化环境下企业内部控制问题展开探讨,并结合问题提出相应的优化手段。
关键词:信息化环境;企业内部控制;问题与对策
一、信息化环境下企业内部控制工作所具有的重要性
在当前的企业运行中,信息技术的应用具有重要价值,信息化的环境使得企业在运营中面临着许多新的境况,传统的控制管理工作难以提供相关的经验。在信息化环境的影响下,企业内部的管理控制理念需要不断的变更,与此同时,企业的内部管理方式与随着理念的变化而有所变更。从整体的角度上审视信息化环境下的企业内部控制工作,能够发现明显的工作进步。在许多控制管理的细节上,由于研究的不足与经验的缺乏,仍旧存在问题。针对目前的环境变化状况,对企业内部的控制进行探讨,具有优化内部控制工作的作用。
二、信息化环境中企业内控工作存在的主要问题
1、对信息化与内部控制工作结合的重视不足
在信息化的环境下,企业的内部控制工作本身就作为信息环境中的重要组成部分,为整体的运行提供了构架支撑。然而,由于企业管理人员对内部控制工作的认识有所不足,导致企业内部控制工作的实施程度存在问题。在以往的企业的发展环境中,企业内部的管理工作通过传统的方式就能够实现。目前阶段许多企业仍旧处于信息化环境的发展阶段,管理中采取的方式,是传统管理方式与信息化管理方式的同步应用。这就导致企业内部控制工作中,对信息化环境的关注有所不足,此后的信息化环境与内部控制的结合也会受到影响。企业内部的高级管理人员,对信息化环境的规划缺乏应有的重视,会导致企业在信息的获取中处于相应的滞后性位置,出现信息不对等的局面,从而整体的控制管理工作会影响到企业中不同部门。
2、企业的内部控制行为变革程度有所不足
在一些企业中,对信息化的环境重视程度较高,因此企业的内部工作人员会在根据信息化的流程展开相应的管理工作,然而,在初期的信息收集中,对各个部门中的细节化需求重视有所不足,导致企业信息与实际的状况存在差异。应用这种类型的信息实施的内部控制,难以满足企业的实际需求。此外,在信息化环境的影响下,企业不同部门工作流程以及事务的执行程度会发生变化,信息收集的不准确会直接致使控制工作行为的失常[1]。一些信息数据的应用不仅在一个工作环节中发挥影响,也会影响其后的工作环节,当信息不准确,不良的影响将会扩张。
3、企业内部信息数据的安全性存在问题
在信息化的环境下,企业内部的许多重要资料等,都需要转化为数字信息的形式进行应用。当企业内部的信息存储安全存在问题时,将会导致企业的内部信息存储环境防护薄弱,容易出现信息的泄露。不同类型企业的内部重要信息是有所区别的,一些企业的重要信息内容集中在客户资料中,客户资料也是重要的客户资源以及维护客户的链条。当这种类型的信息泄露,该公司的声誉以及经营都会受到严重的不良影响。在一些企业中,重要的信息内容,来自于企业内部的技术数字资料,这些资料的安全性不能得到保障,一旦出现泄漏的问题,则企业的核心技术、经营资源等将会受到影响。
4、内部监督管理系统建立的完善程度不足
企业的控制与管理工作,同样需要公开的监督与控制,这种监督的方式能够确保权力不会过于集中。尤其是在信息化的环境下,企业内部的监督管理工作,要对大量的信息内容进行集中,管理人员不仅能够对运营的总体状况有所了解,通过这些信息内容达成整体上的控制,同时也能够对不同部门中的工作状况有所了解以及控制。在这这种情况下,一旦控制工作出现问题,会导致严重的后果。监督体系的构建,能够对企业的内部控制决策产生审核性作用,避免决策产生问题[2]。
三、信息化环境下企业内部控制工作的优化策略
1、根据信息化的环境变化展开内部的控制工作
在企业的内部控制中,企业的整体运行模式环境管理,以及对其中运行环境中不同细节的重视,影响着内部控制工作的完善性。首先,要引导企业的管理人员,对信息化环境中市场出现的新变化以及企业的环境内部出现的新的变化,进行系统性的研究,根据这些变化的因素引导企业的内部管理工作系统的建立。其次,在企业的管理人员中,要增强引导管理人员应用信息技术进行管理,在培训中企业管理人员的实际应用信息技术的能力会得到增强,同时对信息化环境的敏感程度和重视也会增加。在这一方面,我国的企业需要向国外企业进行学习,这是由于信息化技术的应用以及信息化的管理思维,在国外的企业中发展较为迅速,直接的经验学习,能够避免企业在信息化技术的应用以及信息环境下的管理工作中出现困难。企业的决策行为往往是由企业的董事会决定,一般的管理人员对企业决策的影响较为有限。在与信息化技术的接触中,企业中的管理人员对信息化环境的认识程度较深,需要尽量的增加企业中管理人员决策管理工作中的影响,直接管理人员要重视与董事会的沟通交流手段,应用适当的方式提出策略,提升企业决策的准确性[3]。
2、强化企业的内部控制变革程度
在企业的内部控制工作中,要对内部控制的变革程度进行提升。内部控制的工作,在以往的企业运行中就有系列性的策略与手段,信息化的环境中,这些策略与手段的应用与环境不相协调。例如,企业的内部环境控制中,需要对人力资源管理工作与企业文化进行结合。企业在员工选择与培训的初期阶段,就需要筛选与企业中文化相一致的员工,与此同时,在不同的部门中,文化的具体表现方式也是有所差别的。在内部控制中,应用人力资源的政策具有良好的控制效果,在人力资源政策的制定上,强化整个企业文化的同时,对各个部门内部文化的特色与区别要需要给予重视,应用不同部门中的文化特色建立部门中良好的内部环境,整合部门文化特色,优化企业中整体的文化发展环境。这样的内部环境优化,对企业整体上的管理工作以及细节性的管理工作都有着积极的影响,不同部门中对信息数据的收集以及应用,也能够更为细致与专业,避免问题的出现。
3、企业内部信息数据的安全性
在企业内部数据的安全性问题强化上,需要结合企业技术手段与管理的手段,对安全的管理优化。首先,在技術手段的强化。企业在初步建立信息系统时,就需要应用专业的安全人员,对企业信息存储与传输的安全性进行控制。随着信息资源的丰富与信息库的扩大,企业中也需要专职的信息安全管理人员。在人力资源的人才选拔中,需要根据企业的发展需求,选择适合于信息管理的专职技术人员[4]。为了使得这些人员的技术能够得到不断的提升,企业也需要为这些人员提供培训与交流的机会。在企业的内部,需要严格的规定对内部资料的应用,聘请相关的法律专家,结合实际的工作经验,对不同重要程度的信息内容进行甄别。针对企业中的核心商业资料以及技术资料,管理者需要承担主要的管理职责,并且应用管理的细则,保证这些资料在有限的范围内得到应用与流传。由于信息技术的升级速度较快,多数的企业技术人员只能够提供一般的技术管理以及辅助的工作,在技术的升级与开发中,企业要积极的与相关的专业机构建立长期合作关系。
4、内部监督管理系统的完善
信息化环境下,委员会成员包括内控总监和 CIO。应该通过企业风险管理观念和文化的灌输,使企业各个层面的管理人员理解内部审计的重要性。企业可以完善内部审计机构,分派专门人员从事信息系统的审计工作。在设计内部审计机构时,要给予其充分的权利,以保证其在行使权力时不受其他方的影响。内部审计制度是强化内部控制制度的重要措施,其职责包括审计会计账目、检查评价、内部控制制度是否完善,企业的各项组织制度是否能更完整地实现组织目标,并向公司的管理层提出报告。而信息化环境下的监督和审计,与信息化环境和内部控制都有很大的关系,需要借助于信息技术,所以审计人员尤其是信息系统审计人员应具备专业技术知识,才可以圆满地完成审计工作[5]。
结束语:
在企业的内部控制工作中,信息化环境中所具有的独特优势是不容忽视的,企业要积极的发挥信息技术应用的优势,对企业内部的环境以及企业的外部环境进行同步关注。发展计划的制定与决策,就需要根据这些观察结果来实施。信息化环境下,企业内部的管理工作要根据目前出现的问题优化,更为重视信息技术与内部控制工作的结合,企业内部控制的整体性工作中以及现实性的工作中,都采取积极的应对策略。
参考文献:
[1]程菲,周常兰. 信息化环境下企业内部控制的问题与对策[J]. 北方经贸,2016(04):112-113+115.
[2]宋颖佳. 信息化环境下企业内部控制探讨[J]. 新会计,2019(09):59-60.
[3]张建民. 企业信息化环境下内部控制问题分析[J]. 财会学习,2017(08):248+250.
[4]弋卫国. 信息化环境中内部控制系统的构建研究[J]. 中国国际财经(中英文),2017(21):110-111.
[5]吕如龙. 信息化环境下企业内部控制现状与对策[J]. 财会通讯,2015(22):117-118.
作者:贾峰
信息系统管理中信息安全论文 篇3:
信息系统运维过程中的信息安全工作研究
摘 要:本文针对信息系统在运维阶段的信息安全工作进行详细描述,首先分析了信息系统运维阶段的工作要求,接着针对性地对每项工作的开展实施进行阐述,并对相关的信息安全工作进行补充介绍,以期为做好信息系统运维过程中的信息安全工作提供借鉴。
关键词:信息系统;信息安全;系统运维;信息安全等级保护;信息安全风险评估
Research on Information Security in Operation and
Maintenance of Information System
ZHANG Hui
(Patent Examination Cooperation Center of the Patent Office,SIPO Henan,Zhengzhou Henan 450018)
在互聯网高速发展的情形下,越来越多的信息系统开始被大家广泛使用,信息系统的安全问题也得到前所未有的重视。信息系统在建设完成之后,很长一段时间内都处在运维阶段,因此,做好信息系统运维阶段的安全工作变得十分必要[1]。信息系统运维阶段对信息安全工作的开展究竟有哪些要求,信息系统运维阶段的信息安全要做哪些工作,本文将进行详细说明。
1 信息安全的相关概念
1.1 信息系统
2004年下发的《关于信息安全等级保护工作的实施意见》(公通字〔2004〕第66号)指出:信息系统是指由计算机及其相关的和配套的设备、设施构成的,按照一定的应用目标和规则对信息进行存储、传输、处理的系统或者网络;信息是指在信息系统中存储、传输、处理的数字化信息[2]。
1.2 信息系统安全
《中华人民共和国计算机信息系统安全保护条例》第三条指出:计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设施、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
1.3 信息安全的概念
国际标准化组织(ISO)给出的信息安全的定义是:为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭受破坏、更改、泄露[3]。
1.4 信息安全等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
1.5 信息安全风险评估
信息安全风险评估是信息安全等级保护管理的基础工作,依据国家标准规范,对信息系统的完整性、保密性、可用性等安全保障性能进行科学、公正的综合评估的活动。
2 信息系统运维阶段安全工作要求
2.1 运行管理和控制
运行管理和控制的目的是确保信息系统的安全运行,操作人员应对信息系统实行正确和安全的操作,并且保证系统不断变化和种类繁多的运行管理活动得到控制。
2.2 变更管理和控制
变更管理和控制的目的是确保在发生安全配置、安全设施、系统结构和业务应用等变化时,使用标准的方法和步骤,尽快地实施变更,并确保变更所导致的信息资产安全性降低、业务中断或业务影响降到最低。
2.3 安全状态监控
不同安全等级的信息系统在安全监控方面要求采用的手段和监控内容不同。
2.4 安全事件处置和应急预案
安全事件采取分级响应与处置机制,可根据相关标准建立合适的应急响应机制,保障业务系统的持续运行。
2.5 安全检查和持续改进
在信息系统安全运行维护过程中,会发生信息系统变更、安全状态改变等情况。因此,必须定期对信息系统状况进行安全检查,并依据检查结果对信息系统进行持续改进。
2.6 等级保护安全测评
按照等级保护的相关法规和标准,定期对信息系统进行安全测评。
3 信息系统运维阶段安全工作开展
3.1 运行管理和控制
针对不同的信息系统,制定《信息安全责任管理制度》,划分运行管理人员的角色、赋予各种角色不同的管理权限、明确各个角色的职责。同时,加强对管理人员信息系统各项操作的培训;信息系统对不同角色人员的操作进行记录,同时记录系统的正常或异常等信息。
3.2 变更管理和控制
对于信息系统发生变更的情况,系统变更负责人会明确用户需求,形成需求变更文档。之后,会和系统运维方、安全运维方对需求变更文档进行评审分析,确定变更内容,形成变更方案文档。
对于变更实施工作,需要制订详细的变更实施方案,并由系统变更负责人会同安全运维方对实施方案进行评审,系统运维方根据评审后的方案完成变更工作,并在此过程中根据实施方案做好相关记录工作。
3.3 安全状态监控
对于信息系统安全状态的监控,首先,要确定监控哪些内容,如信息系统的可访问性,系统的资源使用情况,内存、硬盘、CPU、TCP连接数、网络流量等;其次,确定监控工具,如阿里云的态势感知、安全预警、政府网站综合防护系统(网防G01)和监控宝等工具;最后,定期对监控数据进行分析,及时发现信息安全事件,并做出响应。
4 信息系统运维阶段其他防护工作
4.1 网络安全防护
网络是信息系统构建的基础,其使计算机及相关配套设备能够互联、共享,但同时也带来了相应的安全问题。网络安全防护内容包括网络结构安全、网络边界防护和信息系统内部深度防护。
通常通过安全域的划分、子系统划分保障网络结构安全;在网络边界设置安全设备,如防火墙、边界隔离防护(IPS、网闸)和VPN,对外部的访问进行过滤和控制,对内部向外部传输的数据信息进行安全检查。
4.2 信息系统环境安全防护
信息系统环境安全防护关注的是采用信息保障技术确保用户信息在进入、离开或驻留客户机与服务器时具有可用性、完整性和保密性。主要涉及主机上的操作系统、数据库等系统软件;应用层的一些通用应用程序,如浏览器;专门开发的独立应用程序;录入或生成的各类数据的安全。
4.3 备份与数据恢复
數据备份是指为保障数据存储的安全性,将数据复制成若干份分开保存的处理方法。数据恢复的方式目前有全盘恢复、个别文件恢复和重定向恢复等。完整的数据备份及恢复方案应包括备份硬件、备份软件、备份制度和数据恢复计划4部分。
5 结语
本文根据当前的文献资料,结合笔者自身的工作经验,对信息系统运维过程中信息安全工作要求进行了详细的分类说明,同时针对性地对每项工作的开展实施进行了阐述,并对相关的信息安全工作进行了补充介绍。本文中提到的信息安全工作开展的内容,可作为企事业单位在信息系统运维阶段信息安全工作的参照。
参考文献:
[1]石志国,贺也平,赵悦.信息安全概论[M].北京:清华大学出版社,2008.
[2]沈昌祥,左晓栋.信息安全[M].杭州:浙江大学出版社,2007.
[3]公安部信息安全等级保护评估中心.信息安全等级保护政策培训教程[M].北京:电子工业出版社,2016.
作者:张惠