信息化建设解决方案之信息安全篇

帮助用户实现IT投资价值最大化信息化建设解决方案之信息安全篇【导读】随着信息安全事件的不断发生，信息安全的重要性呈指数增长的趋势。过去几年来，网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗等事件日益复杂，病毒和蠕虫所造成的损失不可估量。面对如此严峻的信息安全形势，许多单位投入大量资金购买安全设备、系统软件和系统服务来应对，但是，往往得不到预期的风险管理的效果。实际上，解决信息安全问题的根本措施是需要结合企业网络和业务实际，通过正确的方法，建立一套适合企业的信息安全体系，并在企业中持续的运行、改进。以下将为企业在信息化建设过程中，如何更好的应对信息安全问题提供一些思路和方法。1、信息安全建设遇到的问题1.1信息安全建设常见问题随着信息化的快速发展，信息安全事件也越来越多。信息安全已经成为每个信息化建设者为之头疼的问题：，（1）信息安全投资越来越多，信息安全问题也越来越多。单位每年投入大量资金进行安全建设，买了很多信息安全设备，结果每年还是会遇到很多信息安全问题。领导批评，员工抱怨，信息中心主任也不知如何是好。（2）安全管理制度形同虚设。单位在管理方面下了很大功夫，制定了制度，但是安全管理制度就像一阵风，风吹时很猛，但吹过了，也就完了，业务人员根本不拿制度当回事，有的认为制度本身就是形式，这种现象能改变吗？（3）维护人员疲于奔命。单位虽完成了信息安全建设工作，但是信息化业务系统的可靠性及需求不断增长，让安全维护人员疲于奔命，对于突发事件无法做出迅速响应，消耗大量人员成本，工作做得也并不理想，信息中心领导对这种“救火式”安全维护无可奈何。同时，导致IT运维成本不但居高不下,且有明显的逐年增加的趋势，IT运维一时成为可有可无的鸡肋，投入大量资金购买的设备，也快成为摆设。1.2信息安全建设问题分析从问题的表象来分析，产生现象的根源如下：（1）缺乏系统的安全体系。很多企业，甚至大型知名企业，上了很多技术和产品，但安全管理跟不上，技术和产品未能发挥应有的作用；重视信息安全工程建设，但建设后的运维工作跟不上，信息安全隐患不能及时排查、整改，信息安全问题还是层出不穷；重视对外部信息安全风险等防范，疏忽了对内部风险的控制，安全体系不全面，存在短板。根源在于这些企业都存在着一个普遍的问题：信息安全目标体系不清晰，整体的安全体系架构不系统，相关的管理跟不上。如设备上线了，运行很久了，还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决，即使有再好的产品、技术或标准，企业的信息安全管理水平也很难从根本上有所提高，上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。（2）对信息安全风险缺乏及时的评估、预警和控制。信息化项目建设完成后，用户往往认为已经采取了相应的信息安全保护措施，可以一劳永逸，因此在信息系统的日常运维中忽略了对帮助用户实现IT投资价值最大化信息系统安全风险的及时评估、预警和控制。风险是一个动态的过程，信息安全也是一个动态的过程，产品技术标准不断发展和完善，信息安全威胁也是不断地升级换代，随着企业信息化程度的进一步加深，企业核心业务对IT依赖度的进一步加强，信息安全问题会相对越来越多，这是一个不可扭转的趋势和现实，所以信息安全的风险不断在变化。缺乏评估、预警措施，不能及时识别信息安全风险，也就不能控制风险，从而带来隐患。（3）安全运维工作不重视。在很多单位都出现过网站被黑客攻击，主页被篡改，服务器无法对外提供服务的情况。导致业务中断，单位的声誉受损，广告投放单位要求索赔等。出现这种情况的原因，往往是因为缺少对网站的安全保护监控，没有一套合理的流程去防止安全事件的发生。在出现安全事件后，信息中心的人员又不知道该如何处置。到处打电话找人，经过很大的弯子才能够解决问题。这就是日常的安全工作中，缺少应急方案的制定与演练。导致在真正出现问题时，不知该从何下手，如何解决问题。IT部门应当从信息安全的角度出发，为公司制定一个合理的工作流程，管理部门应当制定信息安全运维的框架，并指派专人负责完善运维体系。针对以上问题，建议企业在进行信息安全建设时，首先明确信息安全方针，设计信息安全策略，在此指导下构建信息安全管理体系、技术体系、运维体系。2、正确的信息安全建设之道企业在进行信息安全建设时，应从企业整体IT规划的角度出发，将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。建立信息安全方针，确定信息安全策略，构建信息安全管理体系、技术体系和运维体系，并在实际工作中不断完善。如图1所示。IT原则/IT规划信息安全方针信息安全策略数据访问控制安全策略数据加密与备份策略病毒防护策略系统安全策略身份认证与授权策略灾难恢复与连续性策略安全审计策略人员与安全教育策略环境安全策略组织管控体系技术管控体系运营管控体系领导小组组织建设人员安全岗位职责组织间合作第三方考核物理安全网络安全系统安全应用安全可信安全管理管理制度资产识别风险评估连续性管理事件管理安全审计图1信息安全体系建设图信息安全规划是以组织信息化战略规划为指导，以组织的信息资源规划为基础，确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规划的指导下建设的网络与信息环境，才可以在安全机制的控制与制约下，让各种业务解决方案、应用系统和数据都避免遭受负面因素带来的威胁。信息安全规划不应只是规划未来几个月，而是规划未来几年内如何达到组织信息化远景规划指导下的安全建设目标的一个过程。信息安全规划比单独购买信息安全产品更重要，只有信息安全的整体部署有计划、有方向、有目的、有配合，才能构成真正意义上的信息安全。企业在进行信息安全规划时，首先应制定信息安全的方针目标，然后根据方针目标去制定具帮助用户实现IT投资价值最大化体的信息安全策略。而信息安全策略的落地，最终要靠建立信息安全管理体系、技术体系和运维体系三大体系去实现。下面就具体介绍一下各阶段的具体工作。2.1成立信息安全领导小组企业的信息安全建设应从单位发展的战略角度出发，首先成立由主管领导任责任人的信息安全领导小组，来统筹规划企业的信息安全发展战略，制定信息安全方针目标，确定信息安全策略，建立信息安全体系，构建全方位、立体化的防护系统。2.2制定信息安全方针信息安全体系的建设，涉及面广、工作量大，必须坚持以下的方针原则，保证建设和运维的效果达到目标。进行信息安全建设应遵循以下原则：依据战略制定。信息安全建设应符合企业发展的整体战略，制定信息安全体系框架，明确信息安全建设达到的目标：基于安全基础设施、以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高组织信息系统的整体安全等级，为组织的业务发展提供坚实的信息安全保障。同时，还要制定统一的信息安全建设标准和管理规范，使得信息安全体系建设能够遵循一致的标准，管理能够遵循一致的规范。分步有序实施。信息安全体系的建设，内容庞杂，必须坚持分步骤的有序实施原则，循序渐进地进行。技术管理并重。仅有全面的安全技术和机制是远远不够的，安全组织和安全管理也具有同样的重要性。信息安全体系的建设，必须遵循安全技术和安全管理并重的原则。制定统一的安全建设管理规范，指导组织的安全管理工作。突出安全保障。信息安全体系建设要突出安全保障的重要性，通过数据备份、冗余设计、应急响应、安全审计、灾难恢复等安全保障机制，保障业务的持续性和数据的安全性。2.3制定信息安全策略根据信息安全方针，制定信息安全策略，首先需要对组织信息化发展的历史情况进行深入和全面的调研，了解、分析信息安全现状，明确信息安全建设工作的内容和重点，并形成指导信息安全建设的总体策略。总体策略的设计坚持管理与技术并重的原则，以确保网络和信息系统的安全性为主，采用多重保护、最小授权和严格管理等措施，从宏观整体的角度进行阐述，是信息安全建设总的指导原则。按照要保障的资产对象的不同，总体策略划分为环境安全、数据访问控制安全、数据加密与备份、病毒防治、系统安全、身份认证与授权、灾难恢复与连续性、安全审计、人员与安全教育等若干方面进行阐述。随着技术的发展以及系统的升级、调整，安全策略也应该进行重新评估和制定，随时保持策略与安全目标的一致性。安全策略与安全技术体系、安全管理体系以及安全运维体系这三大体系之间的关系也是相互作用的。一方面，三大体系是在安全策略的指导下构建的，主要是要将安全策略中制定的各个要帮助用户实现IT投资价值最大化素转化成为可行的技术实现方法和管理、运行保障手段，全面实现安全策略中所制定的目标；另一方面，安全策略本身也有包括草案设计、评审、实施、培训、部署、监控、强化、重新评估、修订等步骤在内的生命周期，需要采用一些技术方法和管理手段进行管理，保证安全策略的及时性和有效性。2.4建立信息安全三大体系在信息安全策略的指导下，通过构建安全管理体系、安全技术体系和安全运维体系三大体系，在既定方针目标的指引下，协同工作，相互支撑，相互促进，构成实时、动态和持续改进的全生命周期防护体系。2.4.1安全技术体系建设安全技术体系是整个信息安全体系框架的基础，包括了密码基础设施平台、应用安全支撑平台、灾难备份与恢复平台、安全事件应急响应与管理平台和安全综合管理平台这五个部分，以统一的信息安全基础设施平台为支撑，以统一的安全系统应用平台为辅助，在统一的综合安全管理平台管理下的技术保障体系框架。（1）建立信息系统密码基础设施平台。安全基础设施平台是以安全策略为指导，从物理和通信安全防护、网络安全防护、主机系统安全防护、应用安全防护等多个层次出发，立足于现有的成熟安全技术和安全机制，建立起的一个各个部分相互协同的完整的安全技术防护体系。a)组成：由密码技术所构成的密码基础设施平台，由基于公钥基础设施（PKI）、授权管理基础设施（PMI）、密钥管理基础设施（KMI）等密码安全机制和授权管理机制等组成；b)功能：密码基础设施平台提供数据加/解密、数字签名/验证、数字证书签发/验证、数字信封封装/解封、数据摘要/完整性验证、会话密钥生成和存储等基础密码服务，为安全信息系统实现保密性、完整性、真实性、抗抵赖、访问控制等安全机制提供支持；c)分等级要求：根据不同安全等级的信息系统对密码强度的不同要求，密码基础设施平台应提供不同安全等级的安全支持。（2）建立应用安全支撑平台。应用安全支撑平台处理安全基础设施与应用信息系统之间的关联和集成问题，应用信息系统通过使用安全基础设施平台所提供的各类安全服务，提升自身的安全等级，以更加安全的方式，提供业务服务和内部信息管理服务。总体要求：利用基础设施平台提供的基于PKI/PMI/KMI技术的安全服务，采用安全中帮助用户实现IT投资价值最大化间件及一站式服务理论和技术，支持面向业务应用的各种应用软件系统安全机制的设计，实现包括真实性鉴别、访问控制、信息安全交换、数据安全传输以及数据的保密性、完整性保护等应用软件系统的安全功能，是应用软件系统安全支撑平台的设计目标。应用安全支撑平台提供的安全服务主要包括：a)支持服务器端的服务:采用中间件技术，构建安全中间件模块和安全中间件系统，实现以PKI为核心的安全技术的跨平台分布式应用。b)支持客户端的服务：按照称为安全客户端套件的轻量级中间件模式，采用层次结构，按设备层、硬件接口层、驱动层、底层接口层和高层接口层，构成客户端安全的核心模块，通过密码设备驱动访问所连接的各类终端密码设备。根据不同安全等级的应用对安全支撑平台的不同要求，应用安全支撑平台应提供不同安全强度/等级的安全支持。（3）建立信息系统灾难备份与恢复平台。灾难备份是在信息系统正常运行的情况下，为确保信息系统发生灾难性故障中断运行后恢复运行所作的一系列技术准备工作。灾难备份包括：——数据备份：用来确保系统恢复运行后原有的数据信息不丢失或少丢失；——处理系统备份：用来确保当信息系统中断运行后能在规定的时间范围内替代原系统运行，并确保