引論:我們為您整理了13篇審計信息安全管理范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。
篇1
從審計的角度,風險評估是現代風險導向審計的核心理念。無論是在歷史財務報表審計還是在網絡審計中,現代風險導向審計均要求審計師在執行審計工作過程中應以風險評估為中心,通過對被審計單位及其環境的了解,評估確定被審計單位的高風險領域,從而確定審計的范圍和重點,進一步決定如何收集、收集多少和收集何種性質的證據,以便更有效地控制和提高審計效果及審計效率。從企業管理的角度,企業風險管理將風險評估作為其基本的要素之一進行規范,要求企業在識別和評估風險可能對企業產生影響的基礎上,采取積極的措施來控制風險,降低風險為企業帶來損失的概率或縮小損失程度來達到控制目的。信息安全風險評估作為企業風險管理的一部分,是企業信息安全管理的基礎和關鍵環節。盡管如此,風險評估在網絡審計、歷史財務報表審計和企業信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統環境下所有特定風險和網絡審計風險基本要素的基礎上,從風險評估中應關注的風險范圍、風險評估的目的、內容、程序及實施流程等內容展開,將網絡審計與歷史財務報表審計和信息安全管理的風險評估進行對比分析,以期深化對網絡審計風險評估的理解。
二、網絡審計與歷史財務報表審計的風險評估比較
(一)審計風險要素根據美國注冊會計師協會的第47號審計標準說明中的審計風險模型,審計風險又由固有風險、控制風險和檢查風險構成。其中,固有風險是指不考慮被審計單位相關的內部控制政策或程序的情況下,其財務報表某項認定產生重大錯報的可能性;控制風險是被審計單位內部控制未能及時防止或發現財務報表上某項錯報或漏報的可能性;檢查風險是審計人員通過預定的審計程序未能發現被審計單位財務報表上存在重大錯報或漏報的可能性。在網絡審計中,審計風險仍然包括固有風險、控制風險和檢查風險要素,但其具體內容直接受計算機網絡環境下信息系統特定風險的影響。計算機及網絡技術的應用能提高企業經營活動的效率,為企業的經營管理帶來很大的優越性,但同時也為企業帶來了一些新的風險。這些新的風險主要表現為:(1)數據與職責過于集中化。由于手工系統中的職責分工、互相牽制等控制措施都被歸并到計算機系統自動處理過程中去了,這些集中的數據庫技術無疑會增加數據縱和破壞的風險。(2)系統程序易于被非法調用甚至遭到篡改。由于計算機系統有較高的技術要求,非專業人員難以察覺計算機舞弊的線索,這加大了數據被非法使用的可能性。如經過批準的系統使用人員濫用系統,或者說,企業對接近信息缺乏控制使得重要的數據或程序被盜竊等。(3)錯誤程序的風險,例如程序中的差錯反復和差錯級聯、數據處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統缺乏應用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業信息系統中的數據,從而無法正常開展審計工作。(5)網絡系統在技術和商業上的風險,如計算機信息系統所依賴的硬件設備可能出現一些不可預料的故障,或者信息系統所依賴的物理工作環境可能對整個信息系統的運行效能帶來影響等。相對應地,網絡審計的固有風險主要是指系統環境風險,即財務電算化系統本身所處的環境引起的風險,它可分為硬件環境風險和軟件環境風險。控制風險包括系統控制風險和財務數據風險,其中,系統控制風險是指會計電算化系統的內部控制不嚴密造成的風險,財務數據風險是指電磁性財務數據被篡改的可能性。檢查風險包括審計軟件風險和人員操作風險,審計軟件風險是指計算機審計軟件本身缺陷原因造成的風險,人員操作風險是指計算機審計系統的操作人員、技術人員和開發人員等在工作中由于主觀或客觀原因造成的風險。
(二)風險評估目的無論在網絡審計還是歷史財務報表審計中,風險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯系而不是一項獨立的活動。盡管如此,兩者所關注的風險范圍則有所不同。歷史財務報表審計的風險評估要求審計人員主要關注的是被審計單位的重大錯報風險――財務報表在審計前存在重大錯報的可能性。由于網絡審計的審計對象包括被審計單位基于網絡的財務信息和網絡財務信息系統兩類,因此審計人員關注的風險應是被審計單位經營過程中與該兩類審計對象相關的風險。(1)對于與企業網絡財務信息系統相關的風險,審計人員應該從信息系統生命周期的各個階段和信息系統的各組成部分及運行環境兩方面出發進行評估。信息系統生命周期是指該信息系統從產生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發模型中還是在更為復雜的螺旋式等模型中,一個信息系統的生命周期大都包括規劃和啟動、設計開發或采購、集成實現、運行和維護、廢棄等五個基本階段。由于信息系統在不同階段的活動內容不同,企業在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風險評估應該貫穿于信息系統的整個生命周期。信息系統的組成部分是指構成該信息系統的硬件、軟件及數據等,信息系統的運行環境是指信息系統正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統運行所必備的機房、設備、辦公場所、系統線路及相關環境;網絡層,即信息系統所需的網絡架構的安全情況、網絡設備的漏洞情況、網絡設備配置的缺陷情況等;系統層,即信息系統本身的漏洞情況、配置的缺陷情況;應用層,即信息系統所使用的應用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統的運行使用過程中的組織、策略、技術管理等方面的情況。(2)對于與企業基于網絡的財務信息相關的風險,審計人員應著重關注財務信息的重大錯報風險和信息的安全風險。重大錯報風險主要指被審計單位基于網絡的相關財務信息存在重大錯報的可能性,它是針對企業借助于網絡信息系統或網絡技術對有關賬戶、交易或事項進行確認、計量或披露而言。網絡審計中關注的重大錯報風險與傳統審CtT的內涵基本上是一致的,審計人員在審計時應當考慮被審計單位的行業狀況、經營性質、法律及監管環境、會計政策和會計方法的選用、財務業績的衡量和評價等方面的情況對財務信息錯報可能的影響。信息安全風險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風險,主要針對企業利用信息系統或一定的網絡平臺來存儲、傳輸、披露相關財務信息而言。在審計過程中,審eta員應當主要關注相關財務信息被盜用、非法攻擊或篡改及非法使用的可能性。當然,這兩類風險并非完全分離的,評估時審計人員應將兩者結合起來考慮。
(三)風險評估內容 廣泛意義的風險評估是指考慮潛在事件對目標實現的影響程度。由于網絡審計與歷史財務報表審計風險評估的目的并不完全相同,因此兩者在風險評估的內容上也是存在區別的。總的來說,網絡審計的風險評估內容比歷史財務報表審計的風險評估內容更廣泛和深入。根據《中國注冊會計師審計準則第1211號――了解被審計單位及其環境并評估重大錯報風
險》,在歷史財務報表審計中,審計人員的風險評估應以了解被審計單位及其環境為內容。為識別和評價重大錯報風險,審計人員了解的具體內容包括被審計單位所在行業狀況、法律環境與監管環境以及其他外部因素、被審計單位的性質、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰略以及相關經營風險、被審計單位財務業績的衡量和評價及被審it@位的內部控制等。在網絡審計中。為了識別和評估上文所述的兩類風險,審計人員除了從以上方面了解被審計單位及其環境外,還應該關注其他相關的潛在事件及其影響,尤其是企業的財務信息系統及基于網絡的財務信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統及財務信息構成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責任心、專業技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災或通訊線路故障等環境因素。脆弱點是指信息系統及基于網絡的財務信息所存在的薄弱環節,它是系統或網絡財務信息本身固有的,包括物理環境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網絡、系統的弱點來成功地引起破壞。因此,我們認為網絡審計申風險評估的內容應包括以下幾方面:(1)識別被審計單位財務信息系統及其基于網絡的財務信息可能面臨的威脅,并分析威脅發生的可能性;(2)識別被審計單位財務信息系統及其基于網絡的財務信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據威脅發生的可能性和脆弱點發生的嚴重程度,判斷風險發生的可能性;(4)根據風險發生的可能性,評價風險對財務信息系統和基于網絡的財務信息可能帶來的影響;(5)若被審計單位存在風險防范或化解措施,審計人員在進行風險評估時還應該考慮相應措施的可行性及有效性。
(四)風險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環境并評估重大錯報風險》中要求,審計人員應當實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風險。這些程序同樣適用于網絡審計中的風險評估。但在具體運用時網絡審計中更加注重了解和分析被審計單位與信息系統及網絡技術使用相關的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統和基于網絡的財務信息可大致分為管理人員、系統開發和維護人員(或信息編制人員)、系統使用人員(或信息的內部使用人員)、系統或網絡技術顧問及其他外部相關人員(如律師)等五類,分別從不同角度了解信息系統和基于網絡的財務信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務數據及與財務信息相關的非財務數據可能的異常趨勢外,審計人員應格外關注對信息系統及網絡的特性情況,被審計單位對信息系統的使用情況等內容的分析比較。實施觀察和檢查時,除執行常規程序外,審計人員應注意觀察信息系統的操作使用和檢查信息系統文檔。除此之外,針對特定系統或網絡技術風險的評估,審計人員還需要實施一些特定的程序。技術方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風險問卷調查、風險顧問訪談、風險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網絡采樣監聽通信數據方式,獲取網絡中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發現和利用的安全測試方法;工具掃描是指通過評估工具軟件或專用安全評估系統自動獲取評估對象的脆弱性信息,包括主機掃描、網絡掃描、數據庫掃描等,用于分析系統、應用、網絡設備存在的常見漏洞。風險問卷調查與風險顧問訪談要求審計人員分別采用問卷和面談的方式向有關主體了解被審計單位的風險狀況,使用時關鍵是要明確問卷或訪談的對象情況風險策略分析要求審計人員對企業所設定的風險管理和應對策略的有效性進行分析,進而評價企業相關風險發生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設計文檔測試。這些特定程序主要是針對被審計單位信息系統和基于網絡的財務信息在網絡安全風險方面進行評價,審計人員在具體使用時應結合被審計單位的業務性質選擇合適的程序。
三、網絡審計與信息安全管理的風險評估比較
(一)風險評估的目的信息安全管理中的風險評估(即信息安全風險評估)是指根據國家有關信息安全技術標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風險評估是企業管理的組成部分,它具有規劃、組織、協調和控制等管理的基本特征,其主要目的在于從企業內部風險管理的角度,在系統分析和評估風險發生的可能性及帶來的損失的基礎上,提出有針對性的防護和整改措施,將企業面臨或遭遇的風險控制在可接受水平,最大限度地保證組織的信息安全。而網絡審計是由獨立審計人員向企業提供的一項鑒證服務,其風險評估的目的在于識別和評價潛在事件對被審計單位基于網絡的財務信息的合法性、公允性以及網絡財務信息系統的合規性、可靠性和有效性的影響程度,從而指導進一步審計程序。因此,兩者風險評估的目的是不一樣。從評估所應關注的風險范圍來看,兩者具有一致性,即都需要考慮與信息系統和信息相關的風險。但是,具體的關注邊界則是不一樣的。信息安全風險評估要評估企業資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性,并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,它要求評估人員關注與企業整個信息系統和所有的信息相關的風險,包括實體安全風險、數據安全風險、軟件安全風險、運行安全風險等。網絡審計中,審計人員是對被審計單位的網絡財務信息系統和基于網絡的財務信息發表意見,因此,風險評估時審計人員主要關注的是與企業財務信息系統和基于網絡的財務信息相關的風險,而不是與企業的整個信息系統和所有的信息相關的風險。根據評估實施者的不同,信息安全風險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統進行的風險評估活動;他評估通常是由組織的上級主管機關或業務主管機關發起的,旨在依據已經頒布的法規或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風險評估服務機構進行咨詢、服務、培訓以及風險評估有關工具的提供。因此。對審計人員而言,受托執行的信息安全風險評估應當歸屬于管理咨詢類,即屬于非鑒證業務,與網絡審計嚴格區分開來。
(二)風險評估的內容在我國國家質量監督檢驗檢疫總局的《信息安全風險評估指南》(征求意見稿)國家標準中,它將信息安全風險評估的內容分為兩部分:基本要素和相關屬性,提出信息安全風險評估應圍繞其基本要素展開,并充分考慮與這些基本要素相關的其他屬性。其中,風險評估的基本要素包括資產、脆弱性、威脅、風險和安全措施;相關屬性包括業務戰略、資產價值、安全需求、安全事件、殘余風險等。在此基礎上的風險計算過程是:(1)對信息資產進行識別,并對資產賦值;(2)對威脅進行分析,并對威
篇2
隨著現代經濟社會的發展,人們生活水平得到提高的同時,生活的節奏越來越快,生活壓力也越來越大,幸福指數下降。心理疾病越來越多,不良情緒帶來了各種各樣的軀體不適,嚴重影響了患者的生活質量。筆者對我院心內科2008年1月—2011年8月住院的明確心臟神經官能癥診斷的110例患者用穩心顆粒治療,并追蹤隨訪觀察,治療效果顯著,安全有效,現總結報道如下。
1 資料與方法
1.1 病例選擇 選擇心內科2008年1月—2011年8月住院的明確心臟神經官能癥診斷的患者110例,其中男35例,女75例,年齡20歲~75歲。臨床表現為發作性心慌,胸悶,煩躁易怒,失眠,焦慮等。患者入選條件:明確診斷非器質性心臟病患者。心臟B超正常,88例運動平板實驗為陰性結果,32例冠狀動脈造影排除冠心病。110例均行動態心電圖檢查,30例大致正常,55例提示頻發房性早搏,20例合并短陣房性心動過速,35例提示頻發室性早搏。
1.2 用藥方法 停用其他抗心律失常藥物及其他鎮靜安神藥物至少5個半衰期,給予穩心顆粒治療,每次一包,每日3次,溫開水沖服,4周~8周為1個療程。
1.3 觀察療效指標 觀察患者自覺癥狀是否好轉,心慌胸悶癥狀減輕或消失,失眠焦慮情緒改善,睡眠質量提高,復查動態心電圖心律失常數目有無消失或顯著減少。 同時觀察藥物的安全性,復查血、尿、便常規,肝腎功能,血脂,血糖,凝血功能。
2 結 果
2.1 臨床療效及實驗室檢查 治療4周后,110例患者中94例(85%)心悸癥狀顯著減少或消失,85例失眠,焦慮明顯改善(77%);13例患者合用艾司唑侖癥狀明顯改善;3例患者改為黛力新口服后癥狀改善。總有效率為88%。監測血常規,大小便常規、肝腎功能、血脂、血糖、凝血功能與用藥前無明顯變化。
2.2 心電圖改變 治療前后心率、PR間期、QRS波時限等無明顯變化。
2.3 動態心電圖變化 55例房性早搏患者服藥兩周后49例房性早搏明顯減少,總有效率90%,20例合并短陣房速患者17例房速消失,有效率85%。33例室性早搏患者28例室性早博次數明顯減少,有效率84%。穩心顆粒對非器質性心臟病合并心律失常療效明顯。
2.4 不良反應 5例患者嫌藥物氣味難以接收停用,1例患者出現過敏反應,全身皮膚出現散在紅色丘疹,皮膚瘙癢,停藥1周后痊愈。未見其他藥物不良反應。
3 討 論
篇3
建立良好的信息安全管理模式是鐵路信息系統安全穩定運行的根本保障,有利于鐵路行業信息系統的發展。針對上述鐵路信息安全管理面臨的挑戰,建立鐵路行業信息安全管理新模式,結合鐵路行業現有組織管理架構,借鑒已有的信息安全管理制度,明確信息安全工作的地位、目標、原則以及策略,從組織管理、制度及應急管理、運行維護管理和等級保護管理幾個方面來深入考慮和分析,采用體系化管理方式保障信息系統的安全穩定運行。
2.1健全組織管理機構
信息安全組織管理方面,建立并逐步健全一套自上而下的安全組織機構,成立鐵路信息系統安全管理領導機構,作為系統安全管理的常設組織。同時,采用分層結構,以適應鐵路行業鐵路總公司、鐵路局、站段3級管理機制。鐵路總公司領導機構作為全路信息系統安全管理的常設領導機構,負責制定全路信息系統安全管理制度及辦法,鐵路信息系統安全防護技術的標準,制定安全管理制度。區域安全管理機構主要職責有:負責各鐵路局的信息安全管理中心的日常管理工作,及時與安全專家協商討論安全執行方案,執行安全響應中心制定的具體安全策略,定期向上級匯報信息安全管理相關工作,下設多個安全管理決策小組和管理執行小組,管理執行小組主要負責監督和協調鐵路局下設各車站的信息安全管理執行工作。車站級信息安全執行分組包括安全監督員、安全檢查員、安全執行員3類安全工作人員。
2.2強化制度建設及工作流程管理
2.2.1管理制度
鐵路信息系統安全不僅要強化系統建設,更要做好內部安全管理建設,具體要做好以下工作:
(1)建立專門的安全防御組織:針對鐵路信息系統整體安全,鐵路總公司應成立專門的機構,負責網絡的安全管理和應急響應。鐵路局、基層站段相應的部門,對鐵路基礎網實施自頂向下的實時監控與管理。
(2)建立健全安全保密制度:各部門應制定嚴格的安全保密條例,杜絕不必要的人員接觸和了解鐵路核心網絡設備與技術,防止敏感信息泄露。對有權了解、處理關鍵信息的內部人員制定更嚴格、更詳細的安全責任制度,明確個人在信息安全方面應該承擔的職責以及發生責任事故后的處罰。
(3)建立健全數據安全保護措施:針對鐵路核心業務系統的關鍵數據,需要建立完備的本地和異地備份制度,同時,采用雙機備份、物理隔離的技術方案,定時增量備份。
(4)定期實施漏洞掃描和系統補丁升級:系統管理人員需定期對網絡進行掃描,以檢測和評估網絡漏洞。檢測范圍包括所有的網絡設備和終端設備,同時掃描網絡內所有主機系統的配置及安全漏洞。
(5)定期實施計算機安全檢查:針對處理關鍵數據的計算機,應建立完善的日志,記錄所有與安全有關的事件。安全日志不僅要完整的記錄安全事件,而且需要具備防篡改、抗抵賴功能。
2.2.2標準制度
以信息安全相關管理和技術規范及不同層次的信息安全制度為重點,構建科學嚴謹、有效適用、系統規范的信息安全管理標準制度體系。制定相應的技術標準、作業辦法等,明確工作標準,流程,落實管理責任,規范作業行為。按照信息安全風險管理的要求,對各項管理規章制度進行全面的清理和完善,不斷加強鐵路信息安全標準制度體系建設,使鐵路信息安全風險管理工作制度化、規范化和標準化。
2.2.3工作流程管理
信息安全管理流程包括信息安全培訓工作流程、信息安全運行維護工作流程、信息安全風險控制流程、信息安全應急處置流程、信息安全監督檢查與改進流程等各項管理工作流程。應根據工作實際情況,建立健全、持續改進、推廣應用先進的信息安全管理工作流程,使鐵路信息安全管理和運行維護工作專業化、標準化、規范化。
2.3建立信息安全運行維護管理體系
2.3.1安全風險管理
鐵路信息系統安全管理中心采用風險評估的方法,分析和評估系統的風險源和安全威脅源,并根據各類信息資產的重要程度和價值,選擇適當的控制措施減緩風險。鐵路局要組織建立安全風險管理體系,進行信息資產風險評估和風險處理。從理論上,風險只能降低或減少而不能完全消除。選擇控制措施的原則是既能使鐵路信息系統受到與其價值和保密等級相符的保護,將其所受的風險降低到可接受的水準,又能使所需要的費用在預算范圍之內,使鐵路行業能夠保持良好的競爭力和成功運作的狀態。另外,系統的風險是動態的,風險評估活動應定期進行,特別是在系統的核心功能及技術發生重大變化和內外環境發生重大變化時,風險評估應重新進行。
2.3.2安全運行維護
鐵路信息系統安全運行維護管理依托安全管理中心實現系統的安全運行維護。鐵路總公司信息系統安全管理中心運行維護平臺可實現對系統中的網絡、主機、安全系統、數據庫、中間件、存儲備份設備和應用系統的可視、可控、可管理,協助運行維護人員監控系統和及時發現問題。各鐵路局安全管理部門運行維護人員應通過使用運行維護平臺,積極開展運行維護管理工作,實現鐵路局安全監管監察部門與鐵路總公司安全運行維護工作的有效連接。對各地區安全管理部門能夠處理的事件,按照路局區域內管理流程執行,并定時向鐵路總公司安全管理中心上報故障情況并提交運行維護處理單。
2.3.3安全應急響應
鐵路信息系統安全應急響應體系的建立應做好以下5個階段工作。
(1)保護階段:制定應急反應工作流程計劃、確定預警和報警的方法、建立備份的體系和流程、建立安全的系統、進行應急反應事件處理的預演。
(2)預警與報警:識別和發現各種安全的緊急事件。在緊急情況發生前,產生安全的預警報告,在緊急情況發生時,產生安全警報給應急反應中心。應急反應中心將根據事件的級別,采取相應措施。
(3)牽制與反饋:在確認緊急事件發生的情況下,應急反應中心將根據預先制定的反應計劃,進入應急反應流程。同時,應急反應系統本身將根據預先制定的規則,采取相應的措施,把緊急事件的影響降到最小。
(4)消除階段:對于系統內部病毒,應該采用最新的病毒專殺工具清除。對于系統的外部入侵和非法授權訪問等,應該通過專用的漏洞掃描工具發現系統存在哪些漏洞,然后采用相應的手段消除漏洞安全隱患。對于入侵攻擊或超量訪問要采用有效的攔截和限量訪問措施,使系統資源處于可控范圍。
(5)恢復階段:在數據或者系統被破壞,無法修復的情況下,應進行系統的恢復,且恢復要依據預先制定的恢復流程嚴格進行。
2.3.4安全策略優化
制定有效的安全策略,當原有安全策略無法滿足現有系統的安全需求時,要結合實際情況對系統安全管理策略進行調整優化,以適應新的安全管理制度。制定出符合鐵路信息系統的安全管理策略,以確保系統的信息安全保密性為主,采用多層次保護、最小授權、綜合保護和嚴格管理等措施。
2.3.5安全檢查審計
安全檢查審計依托安全管理平臺,通過對鐵路信息系統中相關信息的收集、分析和報告,判定現有系統安全控制手段的有效性,檢查系統的誤用和濫用行為,統計系統的安全事件,并按照安全事件的影響和危害程度進行等級劃分,從而驗證當前安全策略的合規性,為以后的歸納總結,安全系統的進一步改善提供依據。安全管理平臺根據從專項的日志審計產品、終端審計產品、數據庫審計產品和應用審計產品中收集上來的信息進行關聯分析,進行審計規則匹配,發現違規行為并進行告警和響應。通過安全審計與安全管理平臺的融合,使得安全審計體系的建設與安全管理平臺的建設目標達成了一致,有助于鐵路信息系統整體安全體系的形成和完善,并通過對安全事件的分析,把握系統安全威脅的發展趨勢,形成日報告或周報告進行定期安全信息通報,為系統的安全策略優化提供決策性指導。
2.4建立等級保護管理制度
為切實做好信息安全管理工作,鐵路行業需要借助等級保護這一安全抓手,將等級保護與信息安全日常管理緊密結合,將信息安全管理全面納入鐵路運輸安全生產管理體系,按照“誰主管誰負責、誰運行誰維護”和屬地化管理原則,逐級落實信息安全責任,建立地方與總公司信息化發展相適應的信息安全監督管理機制。同時,為了在縱向上實現對等級保護的控制,鐵路行業主管部門在國家文件政策指導下,應制定符合本行業安全需求的等級保護行業標準、行業等級保護實施方法等文件,用以指導本行業的等級保護工作,保障鐵路運輸及生產安全管理。
2.5建設鐵路信息安全綜合管理平臺
為保證鐵路信息安全等級保護工作的有序展開,需要建設信息安全綜合管理平臺,旨為鐵路總公司及下屬單位開展與信息安全管理相關工作的綜合工作平臺,功能將覆蓋鐵路總公司及其下屬單位的信息安全管理工作的主要內容,并支持公安部等級保護管理工作。平臺主要提供以下3類功能:
(1)以信息系統定級、備案、整改、測評和檢查等規定步驟為主線,實現等級保護工作任務的下發、執行、進度監控和督辦;
(2)風險管理、應急管理、安全檢查和事故通報等專項管理功能;(3)日常辦公的綜合管理、培訓教育、標準管理等。
篇4
1網絡安全管理的安全審計系統
1.1安全審計系統的組成
①事件產生器;②事件數據庫;③事件分析器;④響應單元。事件產生器的作用:將單位網絡獲得的事件提供給網絡安全審計系統;事件分析器的作用:詳細地分析所得到的數據;事件響應單元的作用:根據時間分析器得到的分析結果做出相應的反映;事件數據庫的作用:保存時間分析器得到的分析結果。
1.2安全審計系統的要求
1.2.1記錄與再現記錄安全審計系統中全部違規操作、非法行為,再現系統某種狀態的主要行為。1.2.2入侵檢測審計系統檢查出大多數常見的系統入侵的意圖,設計相應程序阻止入侵行為。1.2.3記錄入侵行為審計系統記錄所有的入侵企圖,對于成功入侵用戶,可以根據入侵記錄恢復系統。1.2.4系統本身的安全性安全審計系統必須保證自身系統操作系統和軟件安全以及審計數據安全才可以發揮其在網絡安全管理的作用。
2網絡安全審計的必要性
2.1提高企業數據安全管理績效
高新科技技術已經滲透到社會方方面面,有利也有弊,其中企業來說,網絡信息安全的問題頻頻出現,這對于企業網絡運營和實際經營造成很大的沖擊、帶來經濟損失。防火墻、防病毒軟件、反入侵系統雖然可以解決部分內部用戶的非法違規網絡行為導致的網絡信息安全問題,某種程度也保障了網絡信息安全。網絡信息外部的防衛無法抵御內部用戶在沒有網絡監管時對網絡內部的不合法操作,網絡外部的安全防衛措施無法解決網絡內部出現的故障。所以企業網絡要正常運營、企業經營要得到持續發展,必須要建立企業內部的安全審計系統,對內部用戶訪問網絡系統進行嚴格監控和審計,有必要時可以采取相應措施懲戒造成網絡安全問題的人員,讓網絡信息安全事件不再發生。
2.2提高網絡信息安全性
(1)安全審計系統采取訪問控制手段對網絡信息進行安全審計和監控,從而提高網絡信息安全;(2)對網絡信息加密實現網絡信息安全審計的目的,實現網絡數據私有,做到網絡安全管理,為了提高網絡信息安全水平要經常維護與檢查安全日志;(3)安全審計網絡中傳輸的信息,監控網絡操作行為,提高網絡信息安全性,提供社會組織的網絡化行為安全性保障。
3安全審計系統在網絡安全管理的應用
安全審計系統和基礎網絡病毒防護產品相互結合,共同保護網絡的整體安全。企業傳統的網絡安全體系建設只注重網絡邊界的安全,重點建設針對外部網絡向企業內網攻擊的防護措施,沒有考慮到內網自身存在的安全隱患,企業的網絡信息安全無法得到有效保障。因此,借助安全審計系統對企業網絡安全進行審計和評估,實現企業網絡的全面安全監督。隨著互聯網科技快速發展,銀行金融行業處于信息化時代,信息化推動銀行智能化發展,銀行網絡信息安全對銀行安全穩定發展非常重要,如銀行數據集中處理有風險、網絡金融服務容易受到黑客、病毒攻擊等。由于銀行涉及到金錢等財務利益上的交易,而且銀行作為信息化時代以客戶為主導的服務行業,必須嚴格地對客戶信息進行保密,保障客戶信息安全。不僅銀行關系到國計民生、對社會經濟發展也具有重要意義,所以控制銀行信息化風險的最有效方法就是建立銀行網絡信息安全審計系統。網絡的廣泛應用給教育行業帶來很大便利,目前很多高校和發達地區中小學都建立自己的校園網,但是網絡問題作為信息化水平發展的附屬品,給校園網安全管理造成很大困擾。雖然校園網已經加大網絡外部病毒防御系統建設,但是網絡內部檢測和審計更需要引起重視,為了減少網絡有害信息和侵權行為,規范師生上網行為,維護校園網安全穩定運行,非常有必要建立校園網絡安全審計系統。
4結語
本文詳細介紹了網絡安全管理的安全審計系統以及功能,并且闡述了網絡安全審計的必要性,安全審計系統的使用,使網絡監控力度大大加強,讓網絡監控效率得到顯著提高,為信息化建設提供了良好的保障。
參考文獻
[1]付曉坤.網絡安全審計技術的運用[J].中國水運,2013(09):50-51.
篇5
隨著信息化技術的高速發展和深入應用,企業對信息系統的依賴性越來越強,絕大部分的業務從紙面遷移到信息系統當中,如何建立穩固的信息安全管理體系已經成為各企業信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業發展的分析,提出企業構建穩固的信息安全管理架構,提高信息安全水平的初步構想。
1企業信息安全政策
信息安全政策作為信息安全工作的重中之重,直接展現了企業的信息安全工作的思路。其應當由企業信息安全工作的使命和遠景,實施準則等幾部分組成。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業所面臨的風險管理至一個可接受的水平。
當前主流的風險控制包含以下四個步驟:通過風險評估方法來評估風險;制定安全策略來降低風險;通過監控控制惡意未授權行為;有效地審計。
1.2信息安全工作的愿景
安全的企業信息化環境可以為任何企業用戶提供安全便捷的信息化服務,應用,基礎設施,并保護用戶的隱私。讓用戶有安全的身份驗證;能安全便捷的使用需要的數據和應用資源;保證通訊和數據的保密性;明確自身的角色,了解角色在企業中的信息安全責任;身邊出現的信息安全風險和威脅能得到迅速響應。
要達到上述目的,企業需要進行有效的風險管理。風險管理是一個識別風險、評估風險、降低風險的過程。在這個過程中,需要權衡降低風險的成本和業務的需求,確定風險的優先級別,為管理層的決策提供有效的支持。
1.3信息安全準則
信息安全準則是風險評估和制定最優解決方案的關鍵,優秀的信息安全準則包括:根據企業業務目標執行風險管理;有組織的確定員工角色和責任;對用戶和數據實行最小化權限管理;在應用和系統的計劃和開發過程中就考慮安全防護的問題;在應用中實施逐層防護;建立高度集成的安全防護框架;將監控、審計和快速反應結合為一體。
良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念,從而讓企業信息管理部門更好地對風險進行管控。
2企業信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經常會提出聯入企業內網的需求,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準,因此存在信息安全隱患。控制此類風險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網絡接入等。
(2)遠程接入控制。隨著VPN[2-3]技術的不斷發展,遠程接入的風險已降低到企業的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USB KEY,動態口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網絡劃分。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟,非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec[4]技術有效提高企業網絡安全,實現對位于公司防火墻內部終端的完全管控。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為,隨著信息技術的發展,各大安全廠商如賽門鐵克,思科等均研發出來成熟的入侵檢測系統產品。
(5)無線網絡安全。無線網絡現在已遍布企業的辦公區域,給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業必須制定密碼策略并利用技術手段保證執行。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理,需要企業具有完善的身份管理平臺,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統[5]。公鑰系統是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統。
2.3監控與審計
(1)病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統補丁,以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端,或對終端進行定制,在終端接入企業內網時,終端管理系統會在隔離區域對該終端進行綜合評估打分,通過評估后方能接入內網。才能保證系統的安全策略被有效執行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計。企業應當配置日志審計系統,收集信息安全事件,產生審計記錄,根據記錄進行安全事件分析,并采取相應的處理措施。
2.4培訓與宣傳
提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎。了解信息安全的必要性,管理層才會支持信息安全管理建設,用戶才會配合信息管理部門工作。利用定期培訓,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳,能有效提高企業信息安全管理水平。
3總結
當前,越來越多的企業已經把信息安全看做影響業務發展的核心因素之一,信息安全管理已經成為企業管理的重點。本文對信息安全政策,安全管理手段等方面進行了剖析,結合當前國際主流的信息安全解決辦法,為企業做好,做強信息安全管理體系給出了一些通用性的標準,對企業構建信息安全管理體系,消除信息安全隱患,避免信息安全事件造成的損失,確保信息系統安全、穩定運行具有探索意義。
參考文獻:
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務的基礎設施[J].電訊技術,2011,51(9):100-105.
[2]胡道元,閡京華.網絡安全[M].北京:清華大學出版社,2004.
篇6
2.1網絡安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經常會提出聯入企業內網的需求,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準,因此存在信息安全隱患。控制此類風險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網絡接入等。
(2)遠程接入控制。隨著VPN技術的不斷發展,遠程接入的風險已降低到企業的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術的發展。企業采用USBKEY,動態口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網絡劃分。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟,非受控終端給企業內網帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec技術有效提高企業網絡安全,實現對位于公司防火墻內部終端的完全管控。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為,隨著信息技術的發展,各大安全廠商如賽門鐵克,思科等均研發出來成熟的入侵檢測系統產品。
(5)無線網絡安全。無線網絡現在已遍布企業的辦公區域,給企業和用戶帶來便利的同時也存在信息安全的隱患。要保證企業內部無線網絡的安全,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內就可以被破解。提高企業用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業必須制定密碼策略并利用技術手段保證執行。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理,需要企業具有完善的身份管理平臺,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊,無線網絡訪問授權,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統。
2.3監控與審計
(1)病毒掃描與補丁管理。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統補丁,以減少桌面終端的安全風險。此類管控手段通常需要在用戶的終端上安裝客戶端,或對終端進行定制,在終端接入企業內網時,終端管理系統會在隔離區域對該終端進行綜合評估打分,通過評估后方能接入內網。才能保證系統的安全策略被有效執行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關;郵件過濾網關;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計。企業應當配置日志審計系統,收集信息安全事件,產生審計記錄,根據記錄進行安全事件分析,并采取相應的處理措施。
2.4培訓與宣傳提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎。了解信息安全的必要性,管理層才會支持信息安全管理建設,用戶才會配合信息管理部門工作。利用定期培訓,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳,能有效提高企業信息安全管理水平。
篇7
第27卷第3期2012年5月審計與經濟研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中觀信息系統風險與損失的成因基礎上,借鑒BS7799標準,一方面從物理層次與邏輯層次兩個方面研究中觀信息系統固有風險的評價模式;另一方面從一般控制與應用控制兩個層面探索中觀信息系統內部控制的評價機制。基于BS7799標準對中觀信息系統審計進行研究,旨在為IT審計師有效實施中觀信息系統審計提供應用指南。
[關鍵詞]BS7799標準;中觀審計;信息系統審計;內部控制;中觀信息系統;中觀信息系統風險
[中圖分類號]F239.4[文獻標識碼]A[文章編號]10044833(2012)03005007
所謂中觀信息系統審計就是指審計主體依據特定的規范,運用科學系統的程序方法,對中觀信息系統網絡的運行規程與應用政策實施的一種監督活動,旨在增強中觀經濟主體特定信息網絡的有效性、安全性、機密性與一致性,以保障中觀信息系統的高效運行[1]。中觀信息系統的審計主體即IT審計師需要重視中觀信息系統審計的復雜性,且有必要借助BS7799標準,構建并完善中觀信息系統審計的實施流程,優化中觀信息系統審計工作,提高審計質量。之所以需要借助BS7799標準,是因為BS7799標準的眾多功能可以滿足中觀信息系統審計工作的需求。在尚未有詳細信息系統審計(以下簡稱“IS審計”)規范的條件下,中觀信息系統審計對信息安全管理策略的需求巨大,而BS7799標準恰恰是問世較早且相對成熟的信息安全管理標準,它能夠確保在計算機網絡系統進行自動通信、信息處理和利用時,在各個物理位置、邏輯區域、存儲和傳媒介質中,較好地實現保密性、完整性、有效性與可用性,能夠在信息管理與計算機科學兩個層面加強信息安全管理向中觀信息系統審計的理論轉化,中觀信息系統審計的需求與BS7799標準的功能具備整合的可行性。
一、 BS7799標準
1995年,英國貿工部制定了世界首部信息安全管理體系標準“BS77991:1995《信息安全管理實施規則》”,并作為各類組織實施信息安全管理的指南[2],由于該標準采用建議和指導的方式編寫,因而不作為認證標準使用;1998年,英國又制定了信息安全管理體系認證標準“BS77992:1998《信息安全管理體系規范》”,作為對組織信息安全管理體系進行評審認證的標準[3];1999年,英國再次對信息安全管理體系標準進行了修訂,形成“BS77991:1999”與“BS77992:1999”這一對配套標準;2000年12月,“BS77991:1999”被ISO/IEC正式采納為國際標準“ISO/IEC17799:2000《信息技術:信息安全管理實施規則》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作為藍本修訂,成為可用于認證的“ISO/IEC《信息安全管理體系規范》”;2005年,BS77991與BS77992再次改版,使得體系更為完善。BS7799標準體系包含10個管理要項、36個管理目標、127個控制目標及500多個管理要點。管理要項如今已成為組織實施信息安全管理的實用指南;安全控制目標能夠幫助組織識別運作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題,它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細說明了建立、實施和維護信息安全管理的要求,指出組織在實施過程中需要遵循的風險評估等級,從而識別最應該控制的對象并對自身需求進行適當控制。BS77991為信息系統提供了通用的控制措施,BS77992則為BS77991的具體實施提供了應用指南。
國外相對成熟的信息安全管理理論較多,它們各有千秋,彼此之間相互補充且有交叉。BS7799標準僅是眾多信息安全管理理論中的一種,與傳統審計方法相比,僅適用于IS審計范疇。然而,BS7799標準的特別之處表現在:其一,它是一部通用的信息安全管理指南,呈現了較為全面的系統安全控制措施,闡述了安全策略和優秀的、具有普遍意義的安全操作方法,能夠為IT審計師開展審計工作提供全程支持;其二,它遵循“計劃-行動-控制-改善方案”的風險管理思想,首先幫助IT審計師規劃信息安全審計的方針和范圍,其次在審計風險評估的基礎上選擇適當的審計方法及風險控制策略并予以實施,制定持續性管理規劃,建立并運行科學的中觀信息系統審計執行體系。
二、 中觀信息系統的風險與損失
中觀信息系統風險是指成功利用中觀信息系統的脆弱性或漏洞,并造成系統損害的可能性。中觀信息系統風險極其龐雜且非常普遍,每個中觀信息系統面臨的風險都是不同的,這種風險可能是單一的,也可能是組合的[4]。中觀信息系統風險包括:人員風險、組織風險、物理環境風險、信息機密性風險、信息完整性風險、系統風險、通信操作風險、設施風險、業務連續性風險、法律風險及黏合風險(見圖1),它們共同構成了中觀信息系統的風險體系,各種風險除具有各自的特性外,有時還可能相互作用。
中觀信息系統風險的成因離不開外來威脅與系統自身的脆弱性,且風險的最終后果就是損失。圖1中的“a.威脅性”是系統的“風險源”,它是由于未授權訪問、毀壞、數據修改以及拒絕服務等給系統造成潛在危害的任何事件。中觀信息系統的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統造成威脅的決定性力量,人為因素造成威脅的主體有競爭對手、網絡黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統安全程序、管理控制、物理設計中存在的、可能被攻擊者利用來獲得未授權信息或破壞關鍵處理的弱點,由物理環境、技術問題、管理問題、法律問題四個方面組成。圖1中的“d.風險承受力”是指在中觀信息系統遭遇風險或受到攻擊時,維持業務運行最基本的服務和保護信息資產的抵抗力、識別力、恢復力和自適應能力。
中觀信息系統風險的產生有兩種方式:一是遵循“abc”路徑,這條路徑形成的風險為中觀信息系統“固有風險”,即假定中觀信息系統中不存在內部控制制度,從而造成系統存在嚴重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風險源,對中觀信息系統構成威脅,該威脅產生后尋找并利用系統的脆弱點(假定中觀信息系統對該脆弱點沒有設計內控制度),當威脅成功作用于脆弱點后,就對系統進行有效攻擊,進而產生中觀信息系統風險。二是遵循“abPc”路徑,該路徑所形成的風險為中觀信息系統的“控制風險”,即內部控制制度體系未能及時預防或發現系統中的某些錯誤或不法行為,以致中觀信息系統遭受損失的可能性。與“abc”路徑比較,該路徑多出“P.內部控制”過程,這說明當威脅已產生并將利用系統的脆弱點時,中觀經濟主體已經對該脆弱點設計了內控制度體系,但是由于內部控制制度設計的不科學、不完善或沒有得到有效執行,從而造成內部控制未能阻止“威脅”,致使中觀信息系統形成風險。中觀信息系統損失的形成遵循“cde”路徑。然而,由于中觀信息系統自身具有一定的風險防御能力(即“d.風險承受力”),因而并非所有風險都將造成損失。當中觀信息系統識別并抵抗部分風險后,最終未能消除的風險通過對系統的負面作用,會給中觀信息系統造成間接或直接的損失。
三、 中觀信息系統固有風險的評價模式
圖1中的“abc”路徑是中觀信息系統固有風險產生的路徑,固有風險形成的條件是“假定不存在內部控制制度”。評價固有風險是中觀信息系統審計準備階段的一項基礎工作,只有正確評價固有風險,才能合理評估審計風險,準確確定審計范圍并制定審計計劃[56]。筆者認為,BS7799標準之所以能夠有效評價中觀信息系統的固有風險,是因為BS7799標準的管理要項、管理目標,控制措施與管理要點組成了信息安全管理體系,這個體系為IT審計師確定與評價系統固有風險提供了指南[7]。BS7799標準對IT審計師評價固有風險的貢獻見上表1。
(一) 物理層次的風險評價
物理層次的內容包括物理環境安全與物理環境設備[7],其中,物理環境安全包括硬件接觸控制、預防災難措施和網絡環境安全;物理環境設備包括支持設施、硬件設備和網絡物理環境。針對上述分類,下面對物理層次風險評價進行具體分析。
首先是物理環境安全風險評價。在評價物理環境安全風險時,可以借鑒BS7799標準A、B、D1、D3、E、G8、H5、I、J。例如,IT審計師在了解被審中觀信息系統的“預防災難措施”時,可參照“A.安全方針”,依據BS7799對“安全方針”進行闡述,了解被審系統的“信息安全方針”,關注被審系統在相關的“方針與策略”中是否估計到了系統可能遭遇的所有內外部威脅;當威脅發生時,是否有具體的安全保護規定及明確的預防措施;對于方針的執行,是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統的“安全方針”,或找到了但“安全方針”并未涉及有關“災難預防”方面的安全措施,則IT審計師可直接認定被審系統在這方面存在固有風險。其次,物理環境設備風險評價。在評價物理環境設備風險時,可以借鑒BS7799標準A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT審計師在了解被審系統有關“硬件設備”的情況時,可參照“C1.資產責任”。BS7799標準對“資產責任”的說明有“組織可根據運作流程與系統結構識別資產,列出清單”,“組織的管理者應該確定專人負責相關資產,防止資產的被盜、丟失與濫用”。借鑒C1的信息安全管理目標與措施,IT審計師可以關注被審單位是否列出了系統硬件設備的清單,是否有專人對資產負責。如果相關方面的管理完備,則說明“硬件設備”在責任方面不存在固有風險,IT審計師也不需要再對此方面的固有風險進行評價。再如,IT審計師在確認“硬件設備”方面的固有風險時,還可參照“E3.通用控制”。BS7799標準對“通用控制”的說明有“定期進行資產清查”,“未經授權,資產不能隨便遷移”等。借鑒這一措施,IT審計師需要了解被審系統的有關資產清查記錄以及資產轉移登記手續,如果相關記錄不完整或手續不完備,則IT審計師可直接認定“硬件設備”在控制方面存在固有風險。
(二) 邏輯層次的風險評價
邏輯層次的內容包括軟件環境、系統生命周期和邏輯安全[7]。其中,軟件環境包括系統軟件、網絡軟件與應用軟件;系統生命周期包括系統規劃、分析、設計、編碼、測試、試運行以及維護;邏輯安全包括軟件與數據接觸、數據加密機制、數據完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類,下面對邏輯層次風險評價進行具體分析。
首先是軟件環境風險評價。在評價軟件環境風險時可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT審計師在掌握被審系統有關“網絡軟件”的情況時,可借鑒“G2.用戶訪問管理”標準。BS7799對該標準的闡述包括“建立用戶登記過程,對用戶訪問實施授權”,“對特權實行嚴格管理”,“對用戶口令進行嚴格管理”等。借鑒G2下相關信息安全管理措施,IT審計師可以詳細核查被審網絡軟件是否建立了用戶注冊與登記過程、被審軟件的特權管理是否嚴格、是否要求用戶秘密保守口令。假若IT審計師發現用戶并未得到訪問網絡軟件的權限卻可以輕易訪問網絡軟件,則該軟件必然存在風險,IT審計師就可通過與BS7799標準比照并發表評價結論。又如,IT審計師在評價“系統軟件”固有風險時,可借鑒“G5.系統訪問與使用的監控”標準。該標準的闡述有“使用終端安全登陸程序來訪問信息服務”,“對高風險的不活動終端采取時限措施”。IT審計師在評價“系統軟件”自身風險時,可套用上述安全措施,逐項分析被審系統軟件是否完全達到上述標準并作出合理的風險評價。其次是系統生命周期的風險評價。在評價系統生命周期風險時,可借鑒BS7799標準A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統的“系統設計”時,可參照“H1.系統安全要求”。H1的解釋為“系統設計階段應該充分考慮系統安全性,組織在項目開始階段需要識別所有的安全要求,并將其作為系統設計開發不可或缺的一部分進行調整與確認”。因而,IT審計師在檢查系統設計有關資料時,需要分析被審單位是否把上述解釋融入系統設計中,或是否全面、有效地融入設計過程,如果被審單位考慮了諸因素,IT審計師就可以確認被審系統的設計環節在此方面不存在風險。假若IT審計師發現在系統設計階段被審單位沒有考慮到需要“引入控制”,且在系統運營期間對系統的“控制”也不夠重視,則IT審計師可以作出系統自身安全及系統設計開發過程存在風險的結論。第三是邏輯安全的風險評價。在評價邏輯安全風險時,可以借鑒BS7799標準A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統的“病毒與惡意代碼”時,可借鑒“G4.網絡訪問控制”。BS7799對該標準的闡述有“建立并實施網絡用戶服務使用方針”,“從用戶終端到網絡服務的路徑必須受到控制”以及“對外部鏈接的用戶進行身份鑒別”等。IT審計師在審計過程中,應該關注被審系統在上述方面的執行思路與執行程度,假若被審單位對上述方面缺乏重視,則惡意用戶未經授權或未受限制就能輕易訪問系統,系統遭受病毒或惡意代碼損害的風險會相應加大。再如,IT審計師在評價系統“數據完整性”的風險時,可借鑒“F1.操作程序與職責”。該標準的描述有“在執行作業的過程中,提供差錯處理及例外情況的指導”,“進行職責分離,減少出現非授權更改與數據信息濫用的機會”等。結合上述措施,IT審計師應該關注被審單位是否通過外鍵、約束、規則等方式保障數據的完整性,如果被審單位沒有按照上述方法操作,則被審系統將會在“數據完整性”方面存在風險。
需要強調的是中觀信息系統固有風險的評價較為復雜。在理論研究中,本文僅選取BS7799的某些標準舉例進行闡述,但在實踐中,IT審計師不應只借鑒BS7799標準的單個或部分標準,就做出某方面存在“固有風險”的結論。如僅從C1看,“硬件設備”無固有風險,但從E3看,“硬件設備”確實存在固有風險。鑒于此,IT審計師應由“點”及“面”,全面借鑒BS7799標準的整個體系。只有如此,才能更科學具體地進行物理及邏輯層次的風險評價。
四、 中觀信息系統內部控制的評價機制
圖1中的“abPc”路徑是中觀信息系統控制風險產生的路徑,控制風險的形成條件是“假定存在內部控制制度,但是內控制度不科學、不健全或執行不到位”,產生控制風險最主要的原因是內部控制機制失效,即“P”過程出現問題。評價內部控制是IT審計師防范審計風險的關鍵,也是中觀信息系統審計實施階段的一項重要工作。然而,當前我國信息系統審計方面的標準與規范僅有四項,因而IT審計師對信息系統內部控制的評價還處于摸索階段,急需詳細的流程與規范進行指導。筆者認為,BS77991《信息安全管理實施細則》與BS77992《信息安全管理體系規范》能夠為IT審計師評價中觀信息系統的內部控制提供思路。BS7799是一套完備的信息安全管理體系,IT審計師完全可以借鑒其體系與框架來設計中觀信息系統內部控制評價流程,構建適用于中觀信息系統的審計流程。BS7799標準的具體借鑒思路見表1,具體闡述如下。
(一) 一般控制的評價
1. 組織管理的內部控制評價
在評價組織管理的內控時,可借鑒BS7799標準A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標準體系作為信息系統組織管理內部控制的衡量標準,并以此確認被審系統組織管理內控制度的科學性與健全性。假若某中觀經濟主體將信息系統的部分管理活動外包,則IT審計師可借鑒BS7799中的“B3.外包控制”標準,檢查外包合同的全面性與合理性。如果被審單位在外包合同中規定了信息系統的風險、承包主客體各自的系統安全控制程序,并明確規定了“哪些措施必須到位,以保證涉及外包的所有各方關注各自的安全責任”,“哪些措施用以確定與檢測信息資產的完整性和保密性”,“采取哪些實物的和邏輯的控制以限制和限定授權用戶對系統敏感信息的訪問”以及“發生災難時,采用怎樣的策略來維持服務可用性”,則IT審計師就可確認被審系統在外包方面的控制設計具有科學性與全面性,只需再對外包控制條款的執行效果進行評價就可以得出對被審單位外包活動評價的整體結論。
2. 數據資源管理的內部控制評價
在評價數據資源管理的內控時,可以借鑒BS7799標準A、B、C、D、E1、E3、F、G、H、I、J。信息系統數據包括數據字典、權限設置、存儲分配、網絡地址、硬件配置與系統配置參數,系統數據資源管理有數據存放、備份、恢復等,內容相對復雜。IT審計師在評價數據資源管理的內部控制時,也需要借鑒BS7799標準體系。例如,IT審計師可借鑒“F1.操作程序與職責”或“G6.應用訪問控制”評價數據資源管理。F1與G6的闡述有“識別和記錄重要數據的更改”、“對數據更改的潛在影響作出評估”、“向所有相關人員傳達更改數據的細節”、“數據更改不成功的恢復措施”、“控制用戶的數據訪問權,如對讀、寫、刪除等進行限制”、“在系統共享中,對敏感的數據實施高級別的保護”。IT審計師在審計時,有必要根據上述思路對系統數據管理的控制制度進行深層次評價。在當前缺乏信息系統審計規范的情況下,以BS7799體系作為評價數據資源管理內部控制的指南,不失為一種好的審計策略。
3. 環境安全管理的內部控制評價
在評價環境安全管理的內控時可以借鑒BS7799標準A、B、C1、D、E、F、G、H、I、J。信息系統的環境安全管理包括物理環境安全管理與軟件環境安全管理,系統環境是否安全決定著危險因素對脆弱性的攻擊程度,進而決定著信息系統風險。IT審計師在審計系統環境的安全管理過程時,需要關注設備、網絡、軟件以及硬件等方面。在評價系統環境安全管理的內部控制時,IT審計師有必要借助上述BS7799標準體系。例如,BS7799的“E1.安全區域”標準與“E2.設備安全”標準的解釋有“信息處理設施可能受到非法物理訪問、盜竊、泄密等威脅,通過建立安全區域、嚴格進入控制等控制措施對重要的系統設施進行全面保護”,“應該對信息處理設施運作產生不良影響的環境條件加以監控,如,濕度與溫度的影響”。類似上述的BS7799系列標準都為IT審計師如何確認環境安全管理的內控提供了審計指導,且其指導思路清晰、全面。IT審計師通過借鑒BS7799系列標準,可以深層次挖掘系統環境安全管理規章制度中存在的疏漏以及執行中存在的問題,從而有效評判環境安全管理的控制風險。
4. 系統運行管理的內部控制評價
在評價系統運行管理的內控時,可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。中觀經濟主體對運行系統的管理相對復雜,涉及到系統組織、系統維護、系統完善等多個方面。由于系統運行中需要管理的環節繁多,而且目前也沒有規范與流程可以參考,因而,評價系統運行管理的內控也有必要借鑒上述BS7799標準體系。例如,BS7799標準“D2.設備安全”與“H5.開發與支持過程中的安全”的闡述有“信息系統操作者需要接受安全意識培訓,熟悉與系統運行相關的安全職責、安全程序與故障制度”,“系統運行中,建立并實施更改控制程序”以及“對操作系統的更改進行技術評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統運行管理的內部控制,需要有上述明細的、清晰的信息安全管理規則予以指導,這些標準可以指導IT審計師了解被審系統是否有健全的運行管理規范及是否得到有效運行,借此,IT審計師可以作出全面的內控判斷,進而出具正確的審計結論。
(二) 應用控制的評價
信息系統的應用控制包括輸入控制、處理控制與輸出控制。在評價系統輸入控制、處理控制以及輸出控制三者的內控時,同樣有必要借鑒BS7799標準,且BS7799標準中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應的信息安全管理目標與措施能夠在IT審計師對三者進行內控評價時提供相對詳盡的審計框架。為確保信息系統輸入、處理與輸出的信息完整、正確,中觀經濟主體需要加強對信息系統的應用控制。IT審計師在中觀信息系統審計的過程中,需要做到對被審系統應用控制進行正確評價。
在IT審計師對應用控制的符合性測試過程中,上述BS7799標準體系可以對應用控制評價進行全程指導。例如,BS7799標準中“H2.應用系統的安全”提到“數據輸入的錯誤,可以通過雙重輸入或其他輸入檢查偵測,建立用于響應輸入錯誤的程序”,“已正確輸入的數據可因處理錯誤或故意行為而被破壞,系統應有確認檢查功能以探測數據的破壞”,“為確保所存儲的信息相對于各種情況的處理是正確而恰當的,來自應用系統的輸出數據應該得到確認”等控制策略,并提出了相對詳細的控制措施。應用控制環節是信息處理的脆弱集結點,IT審計師在進行應用控制的符合性測試環節時有必要考慮周全,詳盡規劃。IT審計師可以遵循H2全面實施針對應用控制的審計,依照BS7799標準體系,檢查被審系統對于超范圍數值、數據區中的無效字符、丟失的數據、未經認可的控制數據等系統輸入問題的控制措施以及應急處理能力;檢查是否對系統產生的數據進行了確認,系統的批處理控制措施、平衡控制措施等,以及相關控制行為的執行力度;檢查信息輸出是否實施了可信性檢查、一致性控制等措施,如果有相關措施,那么執行力度如何。BS7799標準體系較為全面,對于IT審計師評價系統的應用控制貢獻很大,如果IT審計師能夠創造性借鑒該標準,必可做好符合性測試,為實質性測試夯實基礎,也定會提高審計質量。
五、 結束語
表1是筆者在分析某商業銀行信息系統與某區域物流信息系統的基礎上,對“BS7799標準如何應用于信息系統審計”所進行的設計,當針對其他行業時,或許需要對表1進行適當調整。不同行業、不同特性的中觀經濟主體在信息系統審計中運用BS7799標準時側重點會有所不同。本文以分析中觀信息系統風險為著手點,沿用BS7799標準對中觀信息系統審計進行研究,旨在拋磚引玉。
參考文獻:
[1]王會金,劉國城.中觀經濟主體信息系統審計的理論分析及實施路徑探索[J].審計與經濟研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孫強.信息系統審計[M].北京:機械工業出版社,2003.
[5]劉國城,王會金.中觀信息系統審計風險的理論探索與體系構架[J].審計研究,2011(2):2128.
[6]王會金.中觀信息系統審計風險控制體系研究――以COBIT框架與數據挖掘技術相結合為視角[J].審計與經濟研究,2012(1):1623.
[7]科飛管理咨詢公司.信息安全管理概論-BS7799理解與實施[M].北京:機械工業出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
篇8
信息安全等級保護工作是解決信息安全問題的基本方法,而信息安全不僅靠物理安全、網絡安全、主機安全等具體技術上的實現,還需要建立健全的信息安全機構管理制度,貫徹信息安全工作和維持信息安全的建設成果,在技術和管理兩個維度下保障信息安全保護體系在持續的運營工作中發揮應有的信息安全保護作用[1]。
2信息安全機構管理思路
2.1加強安全管理建設是實現等級保護組織機構管理的基礎 醫院信息安全管理需要由醫院信息化領導機構協調進行。為了完成和強化信息安全的管理,需要建立相應的信息安全管理機構,這是醫院信息安全等級保護實施的必要條件[2]。同時,安全組織管理建設也是重要組成內容,包括健全組織體系,明確負責安全管理的主要領導、主管部門、技術支持部門和宣傳部門,制定系統安全保障方案,實施安全宣傳教育、安全監管和安全服務等。
2.2相關管理辦法制定是規范等級保護組織機構管理的根本保證 醫院信息系統存在著來自社會環境、技術環境和物理自然環境的安全風險,其安全威脅無時無處不在。對于醫院信息系統的安全問題,不能企圖單憑利用一些集成了信息安全技術的安全產品來解決,而必須配合等級保護的信息系統安全保障體系,制定相關管理辦法,全方位綜合解決系統安全問題。
2.3定期審查監控是實施等級保護組織機構管理的具體表現 根據醫院對于信息安全等級保護的要求,安全等級保護除重視技術解決方案外,更應明確定期審查、檢查和監控的必要性。包括:指定專員定期對系統進行安全巡查,檢查的內容包含例如系統運行情況、系統漏洞確認、系統數據備份、現有安全技術措施有效性、安全配置與安全策略一致性、安全管理制度的執行情況等等。
3信息安全機構管理措施
醫院信息安全管理體系依賴于信息安全等級保護管理建設的機構管理。根據醫院當前信息安全管理需要和機構管理特點,和信息安全等級保護管理所要求的系統建設管理、系統運維管理、安全管理機構、安全管理制度和人員安全管理,筆者從崗位設置、人員配備、授權、審批、審查和溝通交流等方面分析醫院信息管理機構建設,切實做到提升醫院信息等級保護管理的能力。
3.1崗位設置 信息中心內部根據崗位劃分不同,設置多個安全管理崗位包括系統管理員、網絡管理員、安全管理員、安全審計員崗位,各崗位人員應按照自己的崗位職責,落實本崗位的信息安全工作[3]。
以我院為例,我院信息安全管理工作由院領導負責指導和管理,同時成立了醫院級別的信息安全工作領導小組,由黨委書記擔任領導小組組長,由信息中心負責管理工作的具體落實,制定各信息系統相關崗位的崗位職責和工作標準并形成文件。
3.2人員配備 信息中心采用安全責任層層落實制,中心主任對醫院所有信息化相關系統負責,網絡工程師對醫院所有網絡建設及維護負責,系統工程師對醫院服務器、數據庫、存儲和信息系統負責,信息安全工程師對醫院網絡安全、信息安全、機房物理安全負責,安全審計工程師對所有人的信息安全工作進行監督和審計,保證信息安全工作層層做實。
3.3授權和審批 醫院信息中心對于外部廠商人員的相關操作均需進行審批流程,通過軟件記錄其所有操作行為,并保存進檔。對于中心內部工作人員執行嚴格的離崗流程,由所在部門主管負責回收本部門負責的相關權限,所有權限回收后方可辦理正常的離職手續。
信息中心對于客戶端操作系統權限、應用系統操作權限、數據庫操作權限進行分級控制。內網客戶端硬盤分區全部使用NTFS,管理員密碼由信息中心網絡組每月定時更換;對所有應用系統功能進行編號,對功能進行模塊化管理,并對模塊進行分級控制;同時,設置數據庫用戶,將不同應用的數據分別管理,賦予創建、修改、刪除表及表內數據權限。
3.4審查和檢查 醫院信息中心日常檢查由信息安全管理員進行,自檢內容包括終端安全自檢和軟件管理自檢,終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件,病毒庫是否為最新版本,終端操作系統是否安裝最新補丁,是否設置6位以上口令;軟件管理自檢包括檢查軟件是否為正版軟件,軟件管理的各項記錄是否完整等。
構建信息安全綜合防護體系保證醫院各系統能夠長期穩定安全運行,滿足了醫院不斷擴展的業務應用和管理需要。本文對信息安全機構管理的目的、思路和措施進行了詳細的分析闡述,對相關工作人員和機構具有一定的啟示意義。同時,通過梳理分析業務特點和管理流程,依據等級保護相關政策和標準,明確安全管理需求,筆者所在醫院信息管理中心整理并制定出符合醫院信息系統實際情況的一套信息安全管理體系文件,并在2012年公安局等級保護測評中被評為三級。
參考文獻:
篇9
雖然世界各國早已開始實踐信息安全的相關活動,然而一直到上世紀四十年代學術界才開始出現“通信保密”的概念。上世紀五十年代,“信息安全”等用詞才開始進入相關的科技文獻。國際信息系統安全認證組織(InternationalInformationSystemsSecurityConsor-tium)將信息安全劃分為十大領域,包括物理安全、商務連續和災害重建計劃、安全結構和模式、應用和系統開發、通信和網絡安全、訪問控制領域、密碼學領域、安全管理實踐、操作安全、法律偵察和道德規劃。由此可知,信息安全所包含的領域十分廣泛。“通信與網絡安全”的內容開始逐漸與各類物理安全的內容一樣得到同等重視。21世紀以來,“信息安全”出現的頻率不斷增加,使用的范圍和領域也不斷擴大,并且進入了各個國家、地區的各類組織機構的政策法規之中,受到人們越來越多的關注與重視。本文中所涉及的信息安全主要限制于高校科研項目管理過程中的“信息空間、信息載體和信息資源不受來自內外各種形式的危險、威脅、侵害和誤導。”高校科研管理系統包括其硬件、軟件、數據。保障高校科研信息安全就是保障其軟硬件不受非法侵害、破壞,其數據不受非法更改、泄露,系統及其服務維持正常運行不中斷。
三、高校科研項目管理的信息安全需求
高校科研項目管理信息安全問題較為突出。首先,這是由高校科研活動自身特點所決定的。高校作為我國科研力量最為集中的單位,同時也是集科研、教學為一體的單位,其公開性與保密性并存。第一,辦學的公開性導致人員的流動性,交流與引進人才的同時也造成信息的流動;此外,學生也具有較大的流動性,包括學生參與不同教師的科研項目,出國交流學習、畢業、就業等,增加保密信息泄露的風險。第二,科研項目本身具有公開性,科研項目產生成果時需要進行及時的應用和轉化。由此可知,科研項目從產生到應用的過程就是一個信息傳遞、交流與共享的過程。其次,從高校科研項目管理過程角度出發,主要分為科研項目立項管理、項目實施管理、項目驗收管理三個階段。其中科研項目立項管理又包括項目建議書、項目可行性論證、簽訂項目合同等內容;項目實施管理包括科研項目計劃、項目跟蹤管理、項目中期評估等;項目驗收管理包括合同考核指標、項目組織與管理、項目績效管理等。科研項目管理的這些環節在高校中大部分已實現系統化、信息化、網絡化管理。由此可知,高校的科研管理部門在進行科研項目管理的過程中有以下三個方面的安全需求。
第一,科研項目保密性的安全需求。
由于高校人員的流動性、頻繁的交流活動以及科研活動本身具有一定的公開性,對項目的保密工作提出了更高的要求。一是出于對涉及國家安全與經濟安全的科研項目的保護;二是出于對知識產權的保護,因此如何加強項目保密性與保密范圍的管理至關重要。
第二,管理人員的信息安全需求。
據統計,在所有計算機安全事件中,人為因素造成的約占52%,而組織內部人員作案占10%,由外部不法人員的攻擊造成的安全事件僅有3%左右。可見,項目管理人員自身的安全意識淡薄,安全素質較低,有可能導致科研項目管理過程出現安全事故,例如保密信息外泄,訪問不受控制,系統崩潰后無法修復,甚至導致科研活動停滯。
第三,新技術的發展對信息安全提出了更高要求。
目前信息技術發展突飛猛進,已進入云計算、大數據、移動互聯等廣泛應用的新階段。滯后的信息技術,脆弱的信息網絡注定無法在利用信息技術破壞基礎網絡,攻擊網絡節點等不法行為日益猖獗的今天得以生存。然而,在及時應用如超級計算機及其網格技術、云服務等新技術的同時,科研項目管理同樣會面臨一系列新的問題,例如使用第三方云服務商所提供的產品,進行海量數據獲取、分析、處理的過程中所存在的安全隱患等。
四、高校科研項目管理信息安全實施策略
通過分析高校科研項目管理的特點及其對信息安全方面的需求可知,高校科研項目信息安全管理是一項復雜的系統工程。本文從管理、人員、技術、審計四個角度為保障高校科研項目管理的信息安全提供策略。
1.管理。
基于信息安全的科研項目管理工作,也是高校信息化建設的一部分。為打破“信息孤島”的局面,應將科研項目信息安全管理納入到高校信息化的整體規劃中去。從體制機制的角度出發,應重點關注信息安全管理制度的建立和健全以及信息安全管理組織或人員的設立。高校科研項目的信息安全管理制度應通過相應規章制度的制定,實現項目過程管理、人員管理、組織管理、風險管理等。同時,高校科研管理部門還應設立專門的信息安全管理組織或人員,負責對信息進行及時、全面、準確的甄別、篩選、收集、掌握、保管、分析、運用。
2.人員。
科研項目信心安全管理活動中存在著一般行政管理人員以及專業信息技術人員。提升這兩類人員的信息安全素養的方式方法既有相同點,也有不同點。相同點在于都需要對其進行充分的信息安全知識教育與培訓,可采用多種形式的輿論宣傳,崗前培訓與在職培訓、商業培訓與公益培訓相結合的方式。同時,可將員工的信息安全教育培訓納入到個人績效考核體系中去。不同點在于對一般行政管理人員應加強其信息技術基本知識、實踐技能方面的教育與培訓,對專業信息技術人員應加強法律法規,規章制度方面的知識普及。
3.技術。
如何掌握和運用較為先進和成熟的計算機信息技術,是保障科研項目管理過程中信息安全的重要支撐和基礎保障條件。目前在較為廣泛使用的項目管理信息技術包括科研管理系統(MIS)、決策支持系統(DSS)、辦公自動化(OAS/OA);信息安全管理技術包括防火墻技術、VPN技術、入侵檢測系統(IDS)、入侵防御系統(IPS)、安全服務器等。選擇適合于高校科研管理部門的信息安全技術,需要綜合評估成本與安全風險,同時需要保證優先和重點,優化信息安全資源配置。此外,還應對已有的信息安全軟、硬件不斷進行優化、升級,引進和應用國際先進技術,擁有和掌握自己的核心技術。
4.審計。
信息安全審計是對高校科研項目管理過程中的風險進行評估以及提出應對措施的系統過程。在選擇了合適的信息安全技術,建立了信息安全保障體系之后,這并不意味著信息安全管理工作已經結束。它是一個需要不斷完善的長期過程。信息安全審計包括對人員身份與訪問審計、網絡訪問控制審計、入侵防御審計、漏洞管理審計。首先,應對訪問信息系統的人員身份進行核準,并依據信息保密層級對準入人員進行分級;其次,應使用可以對訪問者以及系統安全性進行檢查的網絡訪問控制審計;最后,應對網絡入侵及系統防御情況進行審計監控,以便于發現系統、管理的漏洞,并對風險進行分析和處理。
篇10
審計的基礎工作是內部審計,內審是審計監督體系中不可或缺的重要組成部分,是全面經濟管理必不可少的手段,是加強任何機構內部管理的必要,推動經濟管理向科學化方向發展的重要環節也是審計。因此說審計部門是其他監督部門不能代替的,促進黨風廉政建設、加強對黨政領導干部及管理人員的監督都可以通過審計來完成。審計應用與高新技術機構中,在防范風險中發揮著重要作用,也有助于領導層做出正確決策。
一、審計工作的現狀及存在的問題
隨著我國經濟迅猛發展,審計監督力度不斷增強,審計范圍也不斷擴大。當前,審計方式已由財政財務審計向效益審計發展,由賬項基礎審計向制度基礎審計、風險基礎審計發展,由事后審計向事中、事前審計發展。審計管理上建立審計質量控制體系,要求審計機關把審計管理工作前移,把質量控制體系貫穿與審計工作中。在此趨勢下,傳統的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務,達到審計目標越發缺乏及時性。
(一)內部審計性質認定較為模糊。內部審計是市場經濟條件下,基于加強經營管理的內在需要,也是內部審計賴以存在的客觀基礎。但是,現代內部審計的產生卻是一個行政命令產物,強調外向。這種審計模式使人們對內部審計在性質認定上產生模糊,阻礙了內部審計的發展。內部審計很難融入經營管理中,審計工作很難正常開展,很難履行監督評價職能和開展保證咨詢活動,因此就不能充分發揮其應有的內向的作用。
(二)內部審計工作范圍過于狹窄。內部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監督和服務。但是,我國內部審計工作的重心局限在財務收支的真實性及合規性審計。長久以來內部審計突出了監督職能,而忽視了服務職能。內部審計認識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內審作用的有效發揮。原因有會計人員知識水平、業務素質不高,也有不重視法律、法規的因素,還有監管不力、查處不嚴的原因。目前內部審計尚處在查錯階段,停留在調賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內部審計的作用尚待開發。審計人員的計算機知識匱乏,不適應電算化、信息化的迅速發展。目前多數審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統的安全性、效益性。由于計算機審計軟件開發標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導致審計人員的知識和審計手段滯后于信息化的發展。
二、信息化審計體系的健全
當前國家審計信息化發展的趨勢是建立審計信息資源的標準化、共享化、公開化,逐步達到向現代審計方式的轉變。這一趨勢是隨著當前科學發展、和諧社會的推進,國家確立的公共財政建設、公共服務的實施、公共產品的提供應運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務;使用效益更注重民意。
信息安全審計是任何機構內控、信息系統治理、安全風險控制等不可或缺的關鍵手段。收集并評估證據以決定一個計算機系統是否有效地做到保護資產、維護數據完整、完成目標,同時能更經濟的使用資源。信息安全審計與信息安全管理密切相關,信息安全審計的主要依據是出于不同的角度提出的控制體系的信息安全管理相關的標準。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統的安全性。由此,國際組織也制定了相關文件規范填補信息系統審計方面的某些空白。例如《信息安全管理業務規范》通過了國際標準化組織ISO的認可,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務院辦公廳關利用計算機信息系統開展審計工作有關的通知》等文件,基本規范了內部審計機制,健全了內部審計機構;強調機構應加強內審工作,機構內部要形成有權就有責、用權受監督的最佳氛圍;審計委員會直接對領導班子負責,其成員需具有相應的獨立性,委員會成員具良好的職業操守和能力,內審人員應當具備內審人員從業資格,其工作范圍不應受到人為限制。內部審計機構對審計過程中發現的重大問題,視具體情況,可以直接向審計委員會或者領導層報告。 轉貼于 三、主機系統安全審計
信息技術審計,或信息系統審計,是一個信息技術基礎設施控制范圍內的檢查。信息系統審計是一個通過收集和評價審計證據,對信息系統是否能夠保護資產的安全、維護數據的完整、使被審計單位的目標得以有效地實現、使組織的資源得到高效地使用等方面做出判斷的過程。
以技術劃分,信息化安全審計主要分為主機審計、網絡審計、應用審計、數據庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態信息和敏感操作就是主機審計,主機審計可以從已有的系統審計記錄中提取相關信息,并以審計規則為標準來分析判斷被審計主機是否存在違規行為。總之,為了在最大限度保障安全的基礎上找到最佳途徑使得業務正常工作的一切行為及手段,而對計算機信息系統的薄弱環節進行檢測、評估及分析,都可稱作安全審計。
主機安全審計系統中事件產生器、分析器和響應單元已經分別以智能審計主機、系統中心、管理與報警處置控制臺來替代。實現主機安全系統的審計包括系統安全審計、主機應用安全審計及用戶行為審計。智能審計替代主機安裝在網絡計算機用戶上,并按照設計思路監視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統分為系統安全審計、主機應用安全審計、用戶行為審計、移動數據防護審計等方面。
四、待解決的若干問題
計算機與信息系統廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術體系。
保護網絡設備、設施、介質,對操作系統、數據庫及服務系統進行漏洞修補和安全加固,對服務器建立嚴格審核。在安全管理上完善人員管理、資產管理、站點維護管理、災難管理、應急響應、安全服務、人才管理,形成一套比較完備的信息系統安全管理保障體系。
防火墻是保證網絡安全的重要屏障,也是降低網絡安全風險的重要因素。VPN可以通過一個公用網絡建立一個臨時的、安壘的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。借助專業的防DDos系統,可以有效的阻止惡意攻擊。信息系統的安全需求是全方位的、系統的、整體的,需要從技術、管理等方面進行全面的安全設計和建設,有效提高信息系統的防護、檢側、響應、恢復能力,以抵御不斷出現的安全威脅與風險,保證系統長期穩定可靠的運行。嚴格的安全管理制度,明確的安全職責劃分,合理的人員角色定義,都可以在很大程度上減少網絡的安全隱患。
從戰略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關組織、機構和職責,建立集中統一、分工協作、各司其職的安全管理責任機制。為了確保突發重大安全事件時,能得到及時的響應和支援,信息系統必須建立和逐步完善應急響應支援體系,確保整個信息系統的安全穩定運行。
參考文獻:
篇11
在實踐中,信息安全不但與通常的監理對象一樣具有規劃、實施、運營等等清晰的工作周期,而且由于信息安全工作在變更、響應、教育方面的高要求,使得信息安全監理在開展過程中需要關注更多的問題。處理好這些問題,信息安全才能真正保障。
認識篇:安全監理 并不遙遠
基于多年對信息技術產業的關心和促進,我國已經形成一系列的法規、條例和標準用于信息領域相關工作的規范和管理。針對信息安全領域,于1994年2月18日的《中華人民共和國計算機信息系統安全保護條例》,是我國信息系統安全體系的核心法律依據;而作為GB17859-1999國家標準的《計算機信息系統安全等級保護劃分準則》則為我國的信息安全工作提供了標準上的支持。特別是2006年上旬公安部的《信息安全等級保護管理辦法(試行)》,也稱7號文件,其中針對不同等級的信息系統明確的在監管和監管資質方面進行了規定。這些法規標準的出臺和實施為信息安全的監理工作提供了有效的生長環境,同時也預示著信息安全監理的大幕正在拉開,通過第三方的監理手段提高信息安全工作有效性正成為產業中一股新的力量。
重視實施
在信息安全工作體系當中,監理可以發揮極為重要的作用,有效的監理工作可以節約資源并保障信息安全工作的順利開展。
在實施信息安全的過程中,監理機制可以保障安全特性與系統核心的工作目標適配,避免安全目標與系統目標之間發生沖突。即使對于信息安全本身,其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突,例如,在很多時候為了提高保密性的要求而可能會損害到信息的可用性,這些問題的權衡和建議體現了監理工作在整個系統體系設計層次的作用。
基于資源有限這一基本原理,在實施信息安全工作的過程中一個非常重要的問題在于使用合適的資源對不同類型的信息資產進行保護。很多信息安全工程或是沒有分清保護的重點,或是對某些信息資產投放了過度的資源,這對于系統的安全乃至系統本身的運轉都會造成不良影響。監理機制能夠在資源調配上起到監管作用,從設計階段就發現信息安全系統中潛藏的缺陷。
作為監理機制最重要的作用之一,監督信息安全的實施過程是信息安全監管的重中之重。即使擁有完善的信息安全系統設計也并不能保證信息安全工作的成功,保證實施方按照設計方案正確的進行實施與對設計方案的分析一樣重要。在很多信息安全工程中存在著執行不利的問題,監理工作非常適合在執行過程中的發揮保障作用,在這類相對確定且可變性較低的層面可以充分發揮監理的標準化能力及管理能力。
從規范到管理
眾所周知,在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據更重要的地位。從信息安全制度規范的實施到安全意識技能培訓,往往受制于企業內部的阻力。通過監理的形式促進這些工作的開展,除了可以有效的提高信息安全工作的質量,同時還可以推進整套工作的進展。
一個容易被忽視的信息安全問題是信息安全體系建設完成之后的管理,在一個信息安全系統建設完成之后并不代表著工作的結束,運營過程中的監管是不容忽視的。一個應用系統層面的變更帶來的往往是生產力的促進和提高,而這種變更所帶來的安全層面的變更往往會對信息安全體系造成巨大的破壞。所以在信息安全體系建設之后的生命周期當中,監理機制仍能夠起到重要作用,保證信息安全工作的延續性。
對比篇:撥開安全監理與審計的迷霧
審計通常是指審計方在接受委托后,通過收集各種信息和證據從而對審計目標是否達到了預先設定的目標進行判斷和指導,延伸到信息安全領域就是通過對計算機系統的數據進行記錄和檢驗從而了解系統是否達到了要求的安全指標。而依照《信息系統工程監理暫行辦法》,信息系統監理是指依法設立且具備相應資質的監理單位受托依據國家有關法規和標準對信息系統工程項目實施監督及管理。從概念上分析,這兩種服務的目的都在于降低信息系統工程實施過程中的風險,從基本出發點上是完全相同的。
走出概念的誤區
在實際的工作范疇以及作用等方面,監理和審計并不完全相同。
就一個信息安全體系來說,本身就需要記錄充分的信息予以存檔留待需要時分析,這也是審計機制中最核心的鑒證功能。但是一個成熟的信息審計過程并不僅僅如此,更重要的是通過第三方的力量對目標信息的真實性、完整性、可靠性進行驗證,從而為決策行為提供充分有效的證明。從不同的視角對一個安全系統進行分析,可以更加真實的還原信息系統的安全現狀,同時可以利用審計機構所具備的知識和經驗,完善系統設計,以提高實施成功率。
從這一點來看,信息安全審計服務與信息安全監理服務的作用有一定的交叉性。而在此基礎之上,信息安全監理還具有一些信息安全審計不具備的職能。首先信息安全監理需要履行監管的職責,也即不僅僅象信息安全審計過程一樣要進行咨詢、分析、建議,還要對整個安全體系的實施乃至運行采取強于審計工作的控制,以第三方的力量穩定項目發展的軌道。另外,信息安全監理還需要在項目開展過程中協調客戶與實施方等多方之間的關系,保證參與方確實的履行合同條款,去除隱藏的欺詐行為。也就是說信息安全監理更側重于項目成功的保障,而信息安全審計更側重于信息的可信性。
值得一提的是,在針對項目范疇的信息審計在關注信息可信的基礎上也包含了對信息系統有效性的審計,集中體現于對項目完成后系統運營狀態的審計,在對于這一生命周期的關注上信息安全審計要強于信息安全監理。
正確實踐
在實際的信息安全項目當中,信息安全監理與信息安全審計也有很多區別,集中體現于工作主體上的差異。
對于監理來說,必須由第三方完成相關工作,否則就失去了公正性和監管力。而對于審計來說,除了聘用外部機構對系統的安全性開展審計工作之外,很多情況下審計工作也可以由組織內部的信息安全團隊完成。在通常情況下,基本的信息安全審計都是由內部人員定期執行并向管理層進行反饋,利用外部力量進行審計的情況相對較少,這也與國內用戶對第三方審計的認知不夠有關。
另外,審計和監理服務所面向的服務對象也有一定的差異。信息審計所具有的公證性目標,在執行信息安全審計時往往服務于類似管理層這樣發起審計要求的局部對象。而信息安全監理則往往服務于用戶和實施方兩方,即使在特定情況下監理機制作用于組織內部的不同部門和層級,也具有作用多個對象的特征。
總體來看,在作用方面信息安全監理與信息安全審計處于相互融合、互相支撐的關系。在一個成功的信息安全項目當中,兩者的作用都不容忽視,應該根據具體需要進行具體選擇,并開展符合實際應用環境的具體應用。
實踐篇:安全規劃 重在督導
缺乏規劃性是很多信息安全項目失敗的主因,所以監理機構有責任向用戶提出實施規劃方面的建議。建議的方面有很多,而主要的原則面則基于成熟的信息安全項目操作經驗。
安全原則不容忽視
首先我們要在規劃制訂過程中樹立以人為本的意識,對計算機系統進行安全管理要充分結合對人的管理。授權最小化是安全管理的核心原則之一,保障權限授予的合理并減少冗余是任何安全體系成功的基礎。
另外,在安全規劃中不能忽視卻常常被忽視的一個問題就是物理安全,協助用戶分析如何管理各種存儲介質,完善用戶所在建筑物的安全管理,都是在監理工作過程中需要注意的問題。
對于安全事件的響應也是監理應該重點關心的方向,很多用戶的信息安全體系具有完善的保護計劃,但是在執行保護工作的過程中卻常常因為缺乏健全的響應計劃而導致信息資產的損失。特別是對于那些服務范圍只涉及建設過程的監理,如果在規劃階段忽視了運營過程中的響應機制,就會給客戶遺留一個缺乏后續保障的安全體系。
除此以外,還有很多問題值得關注,但相對來說有更多的范例可以借鑒,同時也更加容易通過規范來保障。信息安全監理應該在全局掌握的基礎上,重點關注那些相對容易忽視、可變性較高、人員協調需要較強的范疇。
有效溝通是保障
規劃的建立只是開始,在整個信息安全監理工作過程中,應該通過與用戶的充分溝通,形成一套切實可行的安全管理制度。一般常見的安全管理制度包括了權限管理、操作規章、定期檢測制度、信息分級、信息銷毀、介質管理、響應計劃、變更管理、員工培訓等等。在形成制度的同時,一個更加不容忽視的問題在于制度的學習和實踐,這也是監理機構發揮督管作用的重要陣地。
在實際工作過程中,制度的推行往往在客戶方遇到一定的阻礙,而面對這種阻礙,往往會導致實施方降低項目的推進力。在這種情況下,監理方應該及時、確實的把握雙方的思維動向,緩沖雙方之間的矛盾,以便于達到項目協調的作用。
另外,監理方還應該對照雙方確認完成的制度條款,通過檢驗手段保證安全管理工作能夠順利實施。這樣既能夠保證用戶得到有效的安全保護系統,同時也是對實施方的工作成果負責,在此基礎上監理方才能對雙方的利益開展協調。在監理工作當中還有一個需要高度重視的問題,那就是監理方本身對于制度的遵守和執行。
作為用戶與實施方的媒介,監理方必須嚴格依照實現制訂的標準完成監理工作,這是獲得信任的基礎。同時監理方也應該盡力遵守用戶和實施方之間的協議以及制訂出的制度(例如進場制度),只有得到兩方的尊重,才能順利保證監理工作的開展。
篇12
21世紀是信息的時代,一方面,信息科學和技術正處于空前繁榮的階段,信息產業成為世界第一大產業,另一方面,危害信息安全的事件不斷發生,信息安全的形勢是嚴峻的。因此在信息社會中,只有厘清信息系統的安全需求,才能確切地把握各類信息系統及計算機網絡系統等所面臨的風險,并使信息安全風險處于可控范圍之內。該文的研究旨在從信息系統安全等級保護的角度,系統地分析信息系統的安全需求,從而為切實保證網絡基礎設施與業務系統安全、可靠運行提供理論依據。
1 信息系統安全威脅
要保證信息系統的安全可靠,必須全面了解信息系統可能面臨的所有安全威脅和風險。威脅是指可能對信息系統資產或所在組織造成損害事故的潛在原因;威脅雖然有各種各樣的存在形式,但其結果是一致的,都將導致對信息或資源的破壞,影響信息系統的正常運行,破壞提供服務的有效性、可靠性和權威性。
任何可能對信息系統造成危害的因素,都是對系統的安全威脅。威脅不僅來來自人為的破壞,也來自自然環境,包括各種人員、機構出于各自目的的攻擊行為,系統自身的安全缺陷以及自然災難等。信息系統可能面臨的威脅見圖1。
2 信息系統安全需求分析
信息系統等級保護的安全需求基本分為技術需求和管理需求兩大類。
技術類安全需求通常與信息系統提供的技術安全機制有關,主要是通過在信息系統中部署軟硬件并正確的配置其安全功能來實現;管理類安全需求通常與信息系統中各種角色參與的活動有關,主要是通過控制各種角色的活動,從政策、制度、規范、流程以及記錄等方面做出規定來實現。
2.1 信息系統安全技術需求
2.1.1 物理需求
(1)當面臨雷擊、地震、臺風、高溫等自然災難,需要通過對物理位置的選擇、溫濕度的控制,以及采取防雷擊措施等來解決問題;
(2)供電系統故障,需要合理設計電力供應系統,如:購買UPS系統或者建立發電機機房來保障電力的供應;
(3)網絡設備、系統設備及其他設備使用時間過長等原因導致硬件故障,需要通過對產品采購、自行軟件開發、外包軟件和測試驗收進行管理,對存儲介質進行管理,建立一套監控管理體系;
(4)攻擊者利用非法手段進入機房內部盜竊、破壞等,需要進行環境管理、采取物理訪問控制策略、實施防盜竊和防破壞等控制措施。
2.1.2 網絡需求
(1)內部人員未授權接入外部網絡,需要通過邊界的完整性檢查、網絡審計、主機審計、應用審計等手段解決。
(2)設施、通信線路、設備或存儲介質因使用、維護或保養不當等原因導致故障,需要通過線路狀態檢測、線路冗余、數據備份與恢復等技術手段解決。
(3)攻擊者惡意地消耗網絡、操作系統和應用系統資源,導致拒絕服務,需要通過主機資源優化、網絡入侵檢測與防范、網絡結構調整與優化等技術手段解決。
(4)攻擊者盜用授權用戶的會話連接,需通過身份鑒別、訪問控制、通信加密等技術手段解決。
2.1.3 系統需求
(1)攻擊者在軟硬件分發環節(生產、運輸等)中惡意更改軟硬件,需通過惡意代碼方法、控制臺審計等技術手段解決。
(2)攻擊者利用網絡擴散病毒,需通過惡意代碼方法、控制臺審計等技術手段解決。
(3)內部人員下載、拷貝軟件或文件,打開可疑郵件時引入病毒。需通過惡意代碼防范技術手段解決。
(4)授權用戶對系統錯誤配置或更改。需通過安全審計、數據備份和恢復等技術手段解決。
2.1.4 應用安全需求
(1)系統軟件、應用軟件運行故障,需要通過對產品采購、自行軟件開發、外包軟件和測試驗收進行管理,對入侵系統和軟件的行為進行監測和報警;
(2)系統軟件、應用軟件過度使用內存、CPU等系統資源,需要對系統軟件和應用軟件進行入侵行為的防范,并進行實時的監控管理;
(3)攻擊者進行非法訪問,需要對網絡設備進行防護、對訪問網絡的用戶進行訪問控制、對訪問網絡的用戶身份進行鑒別來加強訪問控制措施;
(4)攻擊者提供偽造的應用系統服務進行信息的竊取,需要加強網絡邊界完整性檢查,加強對網絡設備進行防護、對訪問網絡的用戶身份進行鑒別。
2.1.5 數據安全需求
(1)內部人員利用技術或管理漏洞,未授權修改重要系統數據或修改系統程序,需要通過網絡安全審計、惡意代碼防范、網絡訪問控制、身份鑒別、通信完整性、入侵防范等技術手段解決;
(2)攻擊者截獲數據,進行篡改、插入,并重發,造成數據的完整性、真實性喪失,需要通過通信完整性、數據完整性、通信保密性、數據保密性、密碼管理等技術手段解決;
(3)通信過程中受到干擾等原因發生數據傳輸錯誤,需要通過通信完整性、數據完整性等技術手段解決;
(4)攻擊者利用通信干擾工具,故意導致通信數據錯誤,需要通過結構安全和網段劃分、通信完整性、數據完整性等技術手段解決。
2.2 信息系統安全管理需求
2.2.1 管理機構
(1)需要建立安全職能部門,設置安全管理崗位,配備必要的安全管理人員、網絡管理人員、系統管理人員;
(2)需要配備相應的安全管理員、網絡管理員、系統管理員;
(3)需要建立定期和不定期的協調會,就信息安全相關的業務進行協調處理;
(4)需要建立相應的審核和檢查部門,安全人員定期的進行全面的安全檢查。
2.2.2 管理制度
(1)需要制定信息安全工作的總體方針、政策性文件和安全策略等,說明機構安全工作的總體目標、范圍、方針、原則、責任等;
(2)需要建立安全管理制度,對管理活動進行制度化管理,制定相應的制定和制度;
(3)需要各功能部門協調機制,進行必要的溝通和合作;
(4)需要建立恰當的聯絡渠道,進行必要的溝通和合作,在必要的時候,進行事件的有效處理;
(5)需要建立備案管理制度,對系統的定級進行備案。
2.2.3 人員安全
(1)需要對人員的錄用進行必要的管理,確保人員錄用的安全;
(2)需要對人員的考核進行嚴格的管理,提高人員的安全技能和安全意識;
(3)需要對人員進行安全意識的教育和培訓,提高人員的安全意識;
(4)需要對第三方人員訪問進行嚴格的控制,確保第三方人員訪問的安全。
2.2.4 系統建設
(1)需要具有設計合理、安全網絡結構的能力;
(2)需要密碼算法和密鑰的使用符合國家有關法律、法規的規定;
(3)需要任何變更控制和設備重用要申報和審批,并對其實行制度化的管理;
(4)需要對信息系統進行合理定級,并進行備案管理;
(5)需要自行開發過程和工程實施過程中的安全;
(6)需要對軟硬件的分發過程進行控制;
(7)需要信息安全事件實行分等級響應、處置。
2.2.5 系統運維
(1)需要各種網絡設備、服務器正確使用和維護;
(2)需要用戶具有鑒別信息使用的安全意識;
(3)需要硬件設備、存儲介質存放環境安全,并對其的使用進行控制和保護;
(4)需要提供足夠的使用手冊、維護指南等資料;
(5)需要在事件發生后能采取積極、有效的應急策略和措施。
3 結論與建議
3.1 以信息系統安全需求促進系統安全等級保護,建立信息安全管理的長效機制
信息安全等級保護是國家信息安全保障工作的基礎制度,信息安全需求的研究是從系統風險管理角度最大限度地為保障信息安全提供科學依據,作為信息系統使用機構,開展信息安全等級保護定級和信息安全需求研究工作,其最終目標就是建立“量身定做”的信息安全管理體系。按照“誰主管誰負責、誰運營誰負責”和“適度安全、保護重點”的原則,準確進行安全等級定級,并在信息化建設整個生命周期中構建好信息安全管理體系,并緊緊圍繞“信息系統安全需求”這個等級保護主要抓手,結合國家規范、行業規范和系統工作實際,認真探索、大膽創新。
3.2 信息系統安全需求分析是信息安全管理的重要環節
信息系統安全需求的研究是信息安全管理的一個階段,是信息安全風險管理的重要環節,是信息安全保障體系建立過程中的重要決策機制。信息安全管理要依靠是否滿足系統安全的需求來確定隨后的風險控制和審核批準活動。信息系統安全需求的提出使得機構能夠準確“定位”安全管理的策略、實踐和工具,能夠將安全活動的重點放在重要的問題上,能夠選擇成本效益合理的和適用的安全對策。因此,系統安全需求是信息安全管理體系和信息管理管理的基礎,是對現有網絡的安全性進行分析的第一手資料,也是網絡安全領域內最重要的內容之一,它為實施風險管理和風險控制提供了直接依據。
參考文獻
篇13
(3)網絡通信安全較為脆弱。網絡通信安全五項指標中,網絡攻擊防護與業務文檔記錄方面,醫院相對比較重視,比例分別達到94%與84%,但實地調查發現其網絡攻擊防護還處于低水平狀態。實行網絡隔離與訪問控制的醫院僅占30%,大多數醫院網絡訪問隨意性大,醫院網絡可隨意互訪,信息流通和共享暢通無阻,這給醫院信息安全帶來極大的安全隱患。實行入侵檢測的醫院不到30%,說明中國數字化醫院還處于被動防御階段,遠未達到主動防御水平,同時信息系統的縱深防護水平不高,由此導致數字化醫院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生。實行密鑰管理的醫院則僅13%,說明醫院網絡密鑰其實幾乎還處于無人監管狀態。
(4)人員安全隱患重重。人員安全四項指標調查結果都不容樂觀,尤其是進行第三方合作合同的控制和管理的醫院僅占10%,說明中國數字化醫院在人員安全管理方面還遠未重視,由此導致醫院內部存在大量網絡操作違規現象。如,網絡操作人員隨意將自己的登錄賬號轉借他人,隨意將一些存儲介質接入信息系統,未經授權同時訪問外網與內網,一些人員為了謀取個人私利,非法訪問內部網絡,竊取、偽造、篡改醫療數據等,這使得中國數字化醫院信息安全事故頻頻發生。
(5)組織管理安全有待加強。組織管理安全四項指標中,160家醫院都設置了安全管理組織機構,說明所有醫院都很重視信息安全管理工作,但安全管理制度完整的醫院僅114家,且多數在應急管理制度制定方面較為欠缺,而安全管理制度實施情況調查顯示,只有40%的醫院安全管理制度得到實施,這意味著60%的醫院的安全管理制度形同虛設。在人力財力保障方面給予充分保障的醫院不到50%,由于缺乏人力財力的保障,目前許多醫院信息安全系統建設難以為繼。綜上所述,中國數字化醫院還存在著極大的信息安全隱患。因此,數字化醫院信息安全建設已迫在眉睫。
2動態網絡安全模型的比較分析
面對復雜多樣的信息安全風險以及日益嚴峻的信息安全局勢,動態網絡安全模型為中國數字化醫院信息安全建設提供了理論基礎。典型的動態網絡安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,這些安全模型各有特點,各有側重,已廣泛應用于多個領域的信息安全建設實踐。環節。它強調在安全策略的指導下,綜合采用防火墻、VPN等安全技術進行防護的同時,利用入侵檢測系統等檢測工具,發現系統的異常情況,以及可能的攻擊行為,并通過關閉端口、中斷連接、中斷服務等響應措施將系統調整到一個比較安全的狀態。其中,安全策略是核心,防護、檢測和響應環節組成了一個完整、動態的安全循環,它們共同保證網絡系統的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎上增加恢復(Recovery)環節發展而來,由防護(Protection)、檢測(Detection)、響應(Re-sponse)和恢復(Recovery)四個環節組成(見圖2)。其核心思想是在安全策略的指導下,通過采取各種措施對需要保護的對象進行安全防護,并隨時進行安全跟蹤和檢測以了解其安全狀態,一旦發現其安全受到攻擊或存在安全隱患,則馬上采取響應措施,直至恢復安全保護對象的安全狀態。與PPDR模型相比,PDRR模型更強調一種故障的自動恢復能力,即系統在被入侵后,能迅速采取相應措施將系統恢復到正常狀態,從而保障系統的信息安全。因此,PDRR模型中的安全概念已經從信息安全擴展到了信息保障,信息保障內涵已超出傳統的信息安全保密,是防護、檢測、響應、恢復的有機結合。
3基于動態網絡安全模型的中國數字化醫院信息安全體系構建
結合動態網絡安全模型,并依據《信息安全技術信息系統安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術信息系統等級保護安全設計技術要求》(GB/T25070—2010)等標準規范,本文試構建一個以信息安全組織機構為核心,以信息安全策略、信息安全管理、信息安全技術為維度的數字化醫院信息安全體系三維立體框架。即,在進行數字化醫院信息安全建設時,我們應成立一個信息安全組織機構,并以此為中心,通過制定信息安全總體策略、加強信息安全管理,利用各項信息安全技術,并將其貫徹在預警、保護、檢測、響應、恢復和反擊6個環節中,針對不同的安全威脅,采用不同的安全措施,從而對系統物理設備、系統軟件、數據信息等受保護對象進行全方位多層次保護。
(1)信息安全組織機構是數字化醫院信息安全體系構成要素中最重要的因素,在信息安全體系中處于核心地位。它由決策機構、管理機構與執行機構三部分組成。其中,決策機構是醫院信息安全工作的最高領導機構,負責對醫院信息安全工作進行總體規劃與宏觀領導,其成員由醫院主要領導及其他相關職能部門主要負責人組成。管理機構在決策機構的領導下,負責信息安全體系建設規劃的制定,以及信息安全的日常管理工作,其成員主要來自于信息化工作部門,也包括行政、人事等部門相關人員參與。執行機構在管理機構的領導下,負責保證信息安全技術的有效運行及日常維護,其成員主要由信息化工作部門相關技術人員及其他相關職能部門的信息安全員組成。信息安全組織機構應對醫院信息安全工作進行科學規劃,經常進行不定期的信息安全檢查、評估和應急安全演練。其中對那些嚴重危及醫院信息安全的行為應進行重點管理和監督,明確信息安全責任制,從而保證信息安全各項工作的有效貫徹與落實。
(2)信息安全策略是數字化醫院信息安全得以實現的基礎。其具體制定應依據國家信息安全戰略的方針政策、法律法規,遵循指導性、原則性、可行性、動態性等原則,按照醫療行業標準規范要求,并結合醫院自身的具體情況來進行,由總體方針與分項策略兩個層次組成,內容涵蓋技術層、管理層等各個層面的安全策略,最終實現“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在訪問控制機制方面做到“進不來”、授權機制方面做到“拿不走”、加密機制方面做到“看不懂”、數據完整性機制方面做到“改不了”、審計/監控/簽名機制方面做到“逃不掉”。
(3)信息安全管理是數字化醫院信息安全得以實現的保障。它包括人員管理、技術管理和操作管理等方面。當前中國數字化醫院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術人員、信息安全意識不強、員工接受的教育和培訓不夠、安全管理中被動應付的較多等。因此,數字化醫院一方面應加強全員信息安全意識,加大信息安全人員的引進、教育與培訓力度,提高信息安全管理水平;另一方面應制定具體的信息安全管理制度,以規范與約束相關人員行為,保證信息安全總體策略的貫徹與信息安全技術的實施。
(4)信息安全技術是數字化醫院信息安全得以實現的關鍵。數字化醫院信息安全建設涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災、數據加密、安全加固和緊急響應等技術手段,它們貫穿于信息安全預警、保護、檢測、響應、恢復與反擊六個環節。數字化醫院應切實加強這六個環節的技術力量,確保其信息安全得以實現,具體體現在:①預警。醫院應通過部署系統監控平臺,實現對路由器、交換機、服務器、存儲、加密機等系統硬件、操作系統和數據庫等系統軟件以及各種應用軟件的監控和預警,實現設備和應用監控預警;或采用入侵防御系統,分析各種安全報警、日志信息,結合使用網絡運維管理系統,實現對各種安全威脅與安全事件的預警;并將這些不同層面的預警,統一到一套集中的監控預警平臺或運維管理平臺,實現統一展現和集中預警。②保護。主要包括物理安全、系統安全與網絡通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務器等物理設備的安全防護,主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統安全主要包括操作系統與數據庫系統等的安全防護。操作系統的主要風險在于系統漏洞和文件病毒等。為此,醫院需運用防火墻技術控制和管理用戶訪問權限,并定期做好監視、審計和事件日志記錄和分析。所有工作站應取消光驅軟驅,屏蔽USB接口,同時為各個客戶端安裝殺毒軟件,并及時更新,從源頭上預防系統感染病毒。數據庫安全涉及用戶安全、數據保密與數據安全等。為此,需對數據庫進行權限設置。對于關鍵數據,應進行加密存儲。對于重要數據庫應做好多種形式的備份工作,如本地備份與異地備份、全量備份與增量備份等,以保證數據萬無一失。對于網絡通信安全防護,醫院網絡應采用物理隔離的雙網架構,如果內網確需開展對外的WWW等服務,應單獨設置VLAN,結合防火墻設備,通過設置DMZ的方式實現與外界的安全相連。同時,醫院應合理的設置網絡使用權限,嚴格進行用戶網絡密碼管理,防止越權操作。③檢測。檢測是從監視、分析、審計信息網絡活動的角度,發現對于信息網絡的攻擊、破壞活動,提供預警、實時響應、事后分析和系統恢復等方面的支持,使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統能阻止大部分入侵事件的發生,但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(IDS)和漏洞掃描工具。利用入侵檢測系統(IDS)對醫院系統信息安全狀況進行實時監控,并定期查看入侵檢測系統生成的報警日志,可及時發現信息系統是否受到安全攻擊。而通過漏洞掃描工具,可及時檢測信息系統中關鍵設備是否存在各種安全漏洞,并針對漏洞掃描結果,對重要信息系統及時進行安全加固。④響應。主要包括審計跟蹤、事件報警、事件處理等。醫院應在信息系統中部署安全監控與審計設備以及帶有自動響應機制的安全技術或設備,當系統受到安全攻擊時能及時發出安全事故告警,并自動終止信息系統中發生的安全事件。為了確保醫院正常的醫療服務和就醫秩序,提高醫院應對突發事件的能力,醫院還應成立信息安全應急響應小組,專門負責突發事件的處理,當醫院信息系統出現故障時,能迅速做出響應,從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓和技術支持等得到妥善解決。⑤恢復。主要包括系統恢復和信息恢復兩個方面。系統恢復可通過系統重裝、系統升級、軟件升級和打補丁等方式得以實現。信息恢復主要針對丟失數據的恢復。數據丟失可能來自于硬件故障、應用程序或數據庫損壞、黑客攻擊、病毒感染、自然災害或人為錯誤。信息恢復跟數據備份工作密切相關,數據備份做得是否充分影響到信息恢復的程度。在信息恢復過程中要注意信息恢復的優先級別。直接影響日常生活和工作的信息必須先恢復,這樣可提高信息恢復的效率。另外,恢復工作中如果涉及機密數據,需遵照機密系統的恢復要求。⑥反擊。醫院可采用入侵防御技術、黑客追蹤技術、日志自動備份技術、安全審計技術、計算機在線調查取證分析系統和網絡運維管理系統等手段,進行證據收集、追本溯源,實現醫院網絡安全系統遭遇不法侵害時對各種安全威脅源的反擊。
