论信息安全的风险防范和管理措施.doc

论信息安全的风险防范与管理措施 　　本文结合各企事业单位信息安全管理现状与本单位的信息安全管理实践，重点论述了信息安全风险防范措施以及管理手段在信息安全建设中的重要性。 　　随着大数据时代的到来，互联网业务的飞速发展，人们对信息和信息系统依赖程度日益加深，同时，信息系统承载业务的风险上升，每天都会发生入侵、数据泄露、服务瘫痪和黑客攻击等安全事件。因此，信息安全已成为信息系统建设中急需解决的问题，人们对信息安全的需求前所未有地高涨起来。 　　一、信息安全建设中存在的问题 　　一直以来，许多企事业、机关政府在信息安全建设中，都存在以下2个方面的问题。 　　（1）存在重技术轻管理，重产品功能轻安全管理的问题。信息安全技术和产品的应用，在一定程度上可以解决部分信息安全问题，但却不是简单的产品堆砌，即使采购和使用了足够先进、数量充足的信息安全产品，仍然无法避免一些信息安全事件的发生。例如，在网络安全控制方面，如果在机房中部署了防火墙也配备了入侵检测设备，但配置却是”全通”策略，那么防火墙及检测设备形同虚设。因此，安全技术需要有完备的安全管理来支持，否则安全技术发挥不了其应有的作用。 　　（2）欠缺信息安全管理体系的建设。有相当一部分单位的最高管理层对信息资产所面临威胁的严重性认识不足，缺乏信息安全意识及政策方针，以至于信息安全管理制度不完善，安全法律法规意识淡薄，防范安全风险的教育与培训缺失，或者即使有制度也执行不利。大部分单位现有的安全管理模式仍是传统的被动的静态的管理方法，缺少未雨绸缪的预见性，不是建立在安全风险评估基础上的动态的系统管理。 　　二、信息安全管理的含义与作用 　　信息安全管理是指整个信息安全体系中，除了纯粹的技术手段以外，为完成一定的信息安全目标，遵循安全策略，按照规定的程序，运用恰当的方法而进行的规划、组织、指导、协调、控制等活动，既经过管理而解决一些安全隐患的手段，信息安全管理是信息安全技术的重要补充。 　　信息安全管理包括三个方面的内容，一是在信息安全问题的解决过程中，针对信息安全技术管理内容；二是信息安全问题的解决过程中需要对人进行约束和规范的管理，如各?N规章制度、权限控制等内容；三是在信息安全问题解决过程中，涉及技术和人员的综合性管理，如信息安全解决的总体规划的制定，信息安全策略的制定等内容。这些内容共同构成了信息安全的防护体系，信息安全管理解决宏观问题，核心思想是信息安全风险的管理控制，对象是包括人员在内的种类信息相关资产，通过对信息资产的风险管理来确保实现安全目标，使这些管理对象能够为组织的业务提供保障。 　　三、信息安全风险防范 　　信息安全是一项无论做到何种防范，都会出现纰漏的领域，但却可以通过管理和技术产品等多方面手段的提高而到有效的风险防范，其实质就是管住进口与出口。针对信息系统而言，威胁的来源可以分为内部威胁和外部威胁。 　　内部威胁重点管控的对象主要为办公主机和服务器。具体可以采取如下措施：1、禁止外部设备，尤其是USB设备及WIFI的接入。通过WINDOWS的组合策略来实现。2、定期巡检。内部的人为威胁危害尤其严重，人为威胁通过攻击系统暴露的要害或弱点，使得网络信息的保密性、完整性、可靠性、可控性和可用性等安全属性受到损害，造成不可估量的经济和政治上的损失。 　　外部威胁主要来自于网络威胁，种类很多，防范需要系统管理。首先要部署管控设备，设计可靠的网络结构，将服务器网络、办公网络区分开，同时将IP地址与MAC地址绑定；其次要将网络行为分组，根据不同组别的特性设置不同的行为规则；另外要限制不必要的软件和通信协议，还要定期审核行为日志。 　　四、信息安全管理措施 　　（1）完善组织机构。一般来讲，应该是一个单位的核心管理层来作为安全管理负责人，要有权威，负责人要非常清楚运作流程，便于风险/事故的及时处理和流程的改进。可以通过组建信息化领导小组来实现，明确指导方针与职责分工，领导小组的主要责任在于制定和调整相关安全策略，并监督和检查策略的执行情况。 　　（2）完善制度和流程管理。从企事业的内部管理来讲，为应对上述的主要风险，从笔者的实际经验出发，首先需要有完善的制度和流程，应该完善以下几个主要制度：设备管理制度、网络管理制度、网络权限申请流程、设备申请流程、内网的安全管理策略、数据管理制度、用户管理制度、变更制度、运维管理记录等。 　　（3）实现三员分离。在笔者遇到的绝大多数中小企业中，信息安全基本处于无人关心的状态，最多也就只是配备1名网管的状态，或者管理人员水平无法满足需求。三员分离设计主要是对管理员的权限进行控制，设置系统管理员、用户管理员和安全审计员3个角色，采用最小授权原则对系统三员进行系统