首页 > 安全 > 网络安全 >

企业网络信息安全管理

2011-09-16

讲述信息安全 信息安全实际上是一个架构,其中包括一套完整的作业流程及运作机制。ISO27001(原BS7799标准)正是这样一套信息安全领域的国际标准。它已经成为世界上应用最广泛的、典型的信息安全管理标准。ISO2...

讲述信息安全 信息安全实际上是一个架构,其中包括一套完整的作业流程及运作机制。ISO27001(原BS7799标准)正是这样一套信息安全领域的国际标准。它已经成为世界上应用最广泛的、典型的信息安全管理标准。ISO27001的信息安全架构共包括11个控制域、39个控制措施、133个控制点。其中的控制域包括:安全策略、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作安全、信息系统获得,开发和维护、访问控制、信息安全事件管理、业务连续性管理、符合性。
熟知信息安全的三个主体
人。首要的主体也就是人,再安全的架构,缺乏安全意识的人去使用,也照样漏洞百出。信息安全团队的建置,合理的权责界限,合格的第三方支持人员等等,涉及到安全管理活动链条中的每个角色都必须经过安全评估。管理的是人,被管理的也是人。看似矛盾过程,但实际上是一个相互制约相互促进的过程。另外,企业安全的执行需要企业高层的支持,中层的督促,员工的执行。缺少任何一个,所有的工作都会成为徒劳。安全是需要全员的参与,提高全员的安全意识,才能全面做好整个企业的安全工作。
流程。有了安全意识的人员,没有安全的流程,一旦企业信息环境发生了变化,安全将不复存在。故而定制可高效执行的,可管理的流程,标准化各个方面的作业管理,是维持企业信息安全的有力支柱。如果说人是整个安全体系中最重要的主体,那么流程则是安全体系中的灵魂,通过流程,可以了解及控制整个安全项目的作业标准、规范及完整性。如果安全性改善在实施过程中发现问题,就需要通过预定的流程,提出改善建议,向指定部门提交报告,从而不断完善整个流程的合理性及适用性。
技术。有了安全的人和安全的流程,还需要导入有效的工具,以控制流程的安全执行,因为最有安全意识的人,也会懈怠!技术是人和流程上的一个补充,通过技术实现自动化控制的最大化,是实施安全技术的基本原则。例如,建置SOC系统,以提高安全事件的响应;导入资产管理系统,以加强软硬件的集中、自动化的管理。
这三个安全主体构成了企业信息安全稳定的体系架构,缺一不可。
了解信息安全架构
信息安全的体系架构在设计之前,需要深入到企业内部了解两方面的问题:
各项业务的内容、操作流程、运作模式
当前IT运作的状况
ISO27001标准中的核心模块都是针对IT基础架构而构建,一个良好的IT基础架构是企业信息安全防护的前提。例如,美国信息系统审计与控制协会(ISACA) 提出的信息系统和技术控制目标(Cobit),英国政府中央计算机与电信管理中心(CCTA)提出的信息技术基础设施库(ITIL),以及微软提出的微软操作架构(MOF)等IT管理工具都可以加强并改善IT服务管理(ITSM)。做好了ITSM,自然也就提升了企业信息安全性。同样,做好ISO27001,ITSM则变得更加完善及健全。ITSM和ISO标准可以说是一套相互补充、相互改善的机制。
定义信息安全范畴
任何一个项目的执行都必须定义范畴,没有执行范畴的项目只能是漫无边际而又毫无效率!而如何定义信息安全所覆盖的范畴(Scope),以及评估范畴内各个方面所面临的风险(Risk),就成为信息安全架构的要素。
范畴(scope)的界定非常重要。它关系到企业内业务的保护层面。现在,我们在前期所做的工作就有用了。根据前期对业务的调查,界定资源保护的层面。其实所有评定条件的标准都需要依据企业内业务的内容、性质作为前提条件。
风险(Risk)的评估更为重要。因为企业内各项资源的重要及安全级别的评量,将直接影响到企业内业务的保护程度。这将需要我们花费大量的时间和精力,根据界定的范畴来评量这些需要保护的资源的风险。
只有做到清晰的范畴界定和符合原则的风险评估,方可在一定的成本预算下,对需要保护的资源实现最大程度上的保护,尽可能降低整体的安全风险系数。
制定信息安全策略
接下来,我们根据范畴界定以及风险评估,设计相应的安全策略(Policy)。这里可能需要重点强调一下,安全策略的设计一定要符合企业的安全性原则。我曾经在实际的安全稽核过程中,看到用户把密码写下来贴在显示器上或办公桌上,原因是密码过于复杂,难以记忆。可见,策略设计不合理,就会适得其反。这样的事情,在不合理的信息安全策略制定过程中非常常见。完整的信息安全策略制定过程,是一个持续的过程,包括四个阶段:导入安全控管系统,建置作业流程,定期稽核和侦察,后续做持续改善。
小结
信息安全的整个架构中,安全事件的发生是不可能完全杜绝的,我们所要做的,就是降低已知存在的风险,减小对企业业务影响。实施信息安全保护需要在安全性和易用性之间寻找合适的平衡点,追求绝对安全在大多数情况下是不合适的。信息安全防护是一个长期的、持续的过程,而非一蹴而就的。在这个过程中,还需要我们不断地重复安全监视、侦防、稽核以及改善过程。
关于作者
颜亮锋, 富士康中央信息安全总部原高级安全工程师, 熟悉ISO27001、Cobit、NIST、ITIL等安全相关国际标准与最佳实践,具有丰富的安全项目实施经验。
企业网络信息安全管理的相关文章请参考
ITIL安全风险评估
云安全5大关注点
企业网络信息安全管理
---gnaw0725

作者“活动目录SEO”

相关文章
最新文章
热点推荐