引論:我們?yōu)槟砹?3篇審計信息安全管理范文,供您借鑒以豐富您的創(chuàng)作。它們是您寫作時的寶貴資源,期望它們能夠激發(fā)您的創(chuàng)作靈感,讓您的文章更具深度。
篇1
從審計的角度,風(fēng)險評估是現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嫷暮诵睦砟睢o論是在歷史財務(wù)報表審計還是在網(wǎng)絡(luò)審計中,現(xiàn)代風(fēng)險導(dǎo)向?qū)徲嬀髮徲嫀熢趫?zhí)行審計工作過程中應(yīng)以風(fēng)險評估為中心,通過對被審計單位及其環(huán)境的了解,評估確定被審計單位的高風(fēng)險領(lǐng)域,從而確定審計的范圍和重點,進一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計效果及審計效率。從企業(yè)管理的角度,企業(yè)風(fēng)險管理將風(fēng)險評估作為其基本的要素之一進行規(guī)范,要求企業(yè)在識別和評估風(fēng)險可能對企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來控制風(fēng)險,降低風(fēng)險為企業(yè)帶來損失的概率或縮小損失程度來達到控制目的。信息安全風(fēng)險評估作為企業(yè)風(fēng)險管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險評估在網(wǎng)絡(luò)審計、歷史財務(wù)報表審計和企業(yè)信息安全管理等工作中的運用卻不盡相同,本文在分析計算機信息系統(tǒng)環(huán)境下所有特定風(fēng)險和網(wǎng)絡(luò)審計風(fēng)險基本要素的基礎(chǔ)上,從風(fēng)險評估中應(yīng)關(guān)注的風(fēng)險范圍、風(fēng)險評估的目的、內(nèi)容、程序及實施流程等內(nèi)容展開,將網(wǎng)絡(luò)審計與歷史財務(wù)報表審計和信息安全管理的風(fēng)險評估進行對比分析,以期深化對網(wǎng)絡(luò)審計風(fēng)險評估的理解。
二、網(wǎng)絡(luò)審計與歷史財務(wù)報表審計的風(fēng)險評估比較
(一)審計風(fēng)險要素根據(jù)美國注冊會計師協(xié)會的第47號審計標準說明中的審計風(fēng)險模型,審計風(fēng)險又由固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險構(gòu)成。其中,固有風(fēng)險是指不考慮被審計單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財務(wù)報表某項認定產(chǎn)生重大錯報的可能性;控制風(fēng)險是被審計單位內(nèi)部控制未能及時防止或發(fā)現(xiàn)財務(wù)報表上某項錯報或漏報的可能性;檢查風(fēng)險是審計人員通過預(yù)定的審計程序未能發(fā)現(xiàn)被審計單位財務(wù)報表上存在重大錯報或漏報的可能性。在網(wǎng)絡(luò)審計中,審計風(fēng)險仍然包括固有風(fēng)險、控制風(fēng)險和檢查風(fēng)險要素,但其具體內(nèi)容直接受計算機網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險的影響。計算機及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營活動的效率,為企業(yè)的經(jīng)營管理帶來很大的優(yōu)越性,但同時也為企業(yè)帶來了一些新的風(fēng)險。這些新的風(fēng)險主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計算機系統(tǒng)自動處理過程中去了,這些集中的數(shù)據(jù)庫技術(shù)無疑會增加數(shù)據(jù)縱和破壞的風(fēng)險。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計算機系統(tǒng)有較高的技術(shù)要求,非專業(yè)人員難以察覺計算機舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過批準的系統(tǒng)使用人員濫用系統(tǒng),或者說,企業(yè)對接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯誤程序的風(fēng)險,例如程序中的差錯反復(fù)和差錯級聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計接口,使得審計人員在審計工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無法正常開展審計工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險,如計算機信息系統(tǒng)所依賴的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴的物理工作環(huán)境可能對整個信息系統(tǒng)的運行效能帶來影響等。相對應(yīng)地,網(wǎng)絡(luò)審計的固有風(fēng)險主要是指系統(tǒng)環(huán)境風(fēng)險,即財務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險,它可分為硬件環(huán)境風(fēng)險和軟件環(huán)境風(fēng)險。控制風(fēng)險包括系統(tǒng)控制風(fēng)險和財務(wù)數(shù)據(jù)風(fēng)險,其中,系統(tǒng)控制風(fēng)險是指會計電算化系統(tǒng)的內(nèi)部控制不嚴密造成的風(fēng)險,財務(wù)數(shù)據(jù)風(fēng)險是指電磁性財務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險包括審計軟件風(fēng)險和人員操作風(fēng)險,審計軟件風(fēng)險是指計算機審計軟件本身缺陷原因造成的風(fēng)險,人員操作風(fēng)險是指計算機審計系統(tǒng)的操作人員、技術(shù)人員和開發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險。
(二)風(fēng)險評估目的無論在網(wǎng)絡(luò)審計還是歷史財務(wù)報表審計中,風(fēng)險評估只是審計的一項重要程序,貫穿于審計的整個過程。與其他審計程序緊密聯(lián)系而不是一項獨立的活動。盡管如此,兩者所關(guān)注的風(fēng)險范圍則有所不同。歷史財務(wù)報表審計的風(fēng)險評估要求審計人員主要關(guān)注的是被審計單位的重大錯報風(fēng)險――財務(wù)報表在審計前存在重大錯報的可能性。由于網(wǎng)絡(luò)審計的審計對象包括被審計單位基于網(wǎng)絡(luò)的財務(wù)信息和網(wǎng)絡(luò)財務(wù)信息系統(tǒng)兩類,因此審計人員關(guān)注的風(fēng)險應(yīng)是被審計單位經(jīng)營過程中與該兩類審計對象相關(guān)的風(fēng)險。(1)對于與企業(yè)網(wǎng)絡(luò)財務(wù)信息系統(tǒng)相關(guān)的風(fēng)險,審計人員應(yīng)該從信息系統(tǒng)生命周期的各個階段和信息系統(tǒng)的各組成部分及運行環(huán)境兩方面出發(fā)進行評估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進入維護的各個階段及其活動,無論是在早期的線性開發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動、設(shè)計開發(fā)或采購、集成實現(xiàn)、運行和維護、廢棄等五個基本階段。由于信息系統(tǒng)在不同階段的活動內(nèi)容不同,企業(yè)在不同階段的控制目標和控制行為也會有所不同,因此,審計人員的風(fēng)險評估應(yīng)該貫穿于信息系統(tǒng)的整個生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運行環(huán)境是指信息系統(tǒng)正常運行使用所依托的物理和管理平臺。具體可將其分為五個層面:物理層,即信息系統(tǒng)運行所必備的機房、設(shè)備、辦公場所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計單位在該信息系統(tǒng)的運行使用過程中的組織、策略、技術(shù)管理等方面的情況。(2)對于與企業(yè)基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險,審計人員應(yīng)著重關(guān)注財務(wù)信息的重大錯報風(fēng)險和信息的安全風(fēng)險。重大錯報風(fēng)險主要指被審計單位基于網(wǎng)絡(luò)的相關(guān)財務(wù)信息存在重大錯報的可能性,它是針對企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對有關(guān)賬戶、交易或事項進行確認、計量或披露而言。網(wǎng)絡(luò)審計中關(guān)注的重大錯報風(fēng)險與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計人員在審計時應(yīng)當(dāng)考慮被審計單位的行業(yè)狀況、經(jīng)營性質(zhì)、法律及監(jiān)管環(huán)境、會計政策和會計方法的選用、財務(wù)業(yè)績的衡量和評價等方面的情況對財務(wù)信息錯報可能的影響。信息安全風(fēng)險涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險,主要針對企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺來存儲、傳輸、披露相關(guān)財務(wù)信息而言。在審計過程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類風(fēng)險并非完全分離的,評估時審計人員應(yīng)將兩者結(jié)合起來考慮。
(三)風(fēng)險評估內(nèi)容 廣泛意義的風(fēng)險評估是指考慮潛在事件對目標實現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計與歷史財務(wù)報表審計風(fēng)險評估的目的并不完全相同,因此兩者在風(fēng)險評估的內(nèi)容上也是存在區(qū)別的。總的來說,網(wǎng)絡(luò)審計的風(fēng)險評估內(nèi)容比歷史財務(wù)報表審計的風(fēng)險評估內(nèi)容更廣泛和深入。根據(jù)《中國注冊會計師審計準則第1211號――了解被審計單位及其環(huán)境并評估重大錯報風(fēng)
險》,在歷史財務(wù)報表審計中,審計人員的風(fēng)險評估應(yīng)以了解被審計單位及其環(huán)境為內(nèi)容。為識別和評價重大錯報風(fēng)險,審計人員了解的具體內(nèi)容包括被審計單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計單位的性質(zhì)、被審計單位對會計政策的選擇和運用、被審計單位的目標、戰(zhàn)略以及相關(guān)經(jīng)營風(fēng)險、被審計單位財務(wù)業(yè)績的衡量和評價及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計中。為了識別和評估上文所述的兩類風(fēng)險,審計人員除了從以上方面了解被審計單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息可能面l臨的威脅或存在的脆弱點。其中,威脅是指對信息系統(tǒng)及財務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財務(wù)信息本身固有的,包括物理環(huán)境、組織、過程、人員、管理、配置、硬軟件及信息等各方面的弱點。一般來說,脆弱點本身不會帶來損失或信息錯報,威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點來成功地引起破壞。因此,我們認為網(wǎng)絡(luò)審計申風(fēng)險評估的內(nèi)容應(yīng)包括以下幾方面:(1)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識別被審計單位財務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財務(wù)信息可能存在的脆弱點,并分析脆弱點的嚴重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點發(fā)生的嚴重程度,判斷風(fēng)險發(fā)生的可能性;(4)根據(jù)風(fēng)險發(fā)生的可能性,評價風(fēng)險對財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能帶來的影響;(5)若被審計單位存在風(fēng)險防范或化解措施,審計人員在進行風(fēng)險評估時還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險評估程序《中國注冊會計師審計準則第1211-----了解被審計單位及其環(huán)境并評估重大錯報風(fēng)險》中要求,審計人員應(yīng)當(dāng)實施詢問、分析程序、觀察和檢查等程序,以獲取被審計單位的信息,進而評估被審計單位的重大錯報風(fēng)險。這些程序同樣適用于網(wǎng)絡(luò)審計中的風(fēng)險評估。但在具體運用時網(wǎng)絡(luò)審計中更加注重了解和分析被審計單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項。在實施詢問程序時,審計人員的詢問對象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可大致分為管理人員、系統(tǒng)開發(fā)和維護人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問及其他外部相關(guān)人員(如律師)等五類,分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息可能存在的威脅和脆弱點。在實施分析程序時,除了研究財務(wù)數(shù)據(jù)及與財務(wù)信息相關(guān)的非財務(wù)數(shù)據(jù)可能的異常趨勢外,審計人員應(yīng)格外關(guān)注對信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計單位對信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實施觀察和檢查時,除執(zhí)行常規(guī)程序外,審計人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險的評估,審計人員還需要實施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測試、工具掃描、安全策略分析等;管理方面如風(fēng)險問卷調(diào)查、風(fēng)險顧問訪談、風(fēng)險策略分析、文檔審核等。其中,IDS取樣分析是指通過在核心網(wǎng)絡(luò)采樣監(jiān)聽通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲行為,并對通信流量進行分析;滲透測試是指在獲取用戶授權(quán)后,通過真實模擬黑客使用的工具、方法來進行實際漏洞發(fā)現(xiàn)和利用的安全測試方法;工具掃描是指通過評估工具軟件或?qū)S冒踩u估系統(tǒng)自動獲取評估對象的脆弱性信息,包括主機掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見漏洞。風(fēng)險問卷調(diào)查與風(fēng)險顧問訪談要求審計人員分別采用問卷和面談的方式向有關(guān)主體了解被審計單位的風(fēng)險狀況,使用時關(guān)鍵是要明確問卷或訪談的對象情況風(fēng)險策略分析要求審計人員對企業(yè)所設(shè)定的風(fēng)險管理和應(yīng)對策略的有效性進行分析,進而評價企業(yè)相關(guān)風(fēng)險發(fā)生的概率以及可能帶來的損失;文檔審核是一種事前評價方法,屬于前置軟件測試的一部分,主要包括需求文檔測試和設(shè)計文檔測試。這些特定程序主要是針對被審計單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險方面進行評價,審計人員在具體使用時應(yīng)結(jié)合被審計單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計與信息安全管理的風(fēng)險評估比較
(一)風(fēng)險評估的目的信息安全管理中的風(fēng)險評估(即信息安全風(fēng)險評估)是指根據(jù)國家有關(guān)信息安全技術(shù)標準,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程。作為信息安全保障體系建立過程中的重要的評價方法和決策機制,信息安全風(fēng)險評估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險管理的角度,在系統(tǒng)分析和評估風(fēng)險發(fā)生的可能性及帶來的損失的基礎(chǔ)上,提出有針對性的防護和整改措施,將企業(yè)面臨或遭遇的風(fēng)險控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計是由獨立審計人員向企業(yè)提供的一項鑒證服務(wù),其風(fēng)險評估的目的在于識別和評價潛在事件對被審計單位基于網(wǎng)絡(luò)的財務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進一步審計程序。因此,兩者風(fēng)險評估的目的是不一樣。從評估所應(yīng)關(guān)注的風(fēng)險范圍來看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險評估要評估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響,它要求評估人員關(guān)注與企業(yè)整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險,包括實體安全風(fēng)險、數(shù)據(jù)安全風(fēng)險、軟件安全風(fēng)險、運行安全風(fēng)險等。網(wǎng)絡(luò)審計中,審計人員是對被審計單位的網(wǎng)絡(luò)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息發(fā)表意見,因此,風(fēng)險評估時審計人員主要關(guān)注的是與企業(yè)財務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財務(wù)信息相關(guān)的風(fēng)險,而不是與企業(yè)的整個信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險。根據(jù)評估實施者的不同,信息安全風(fēng)險評估形式包括自評估和他評估。自評估是由組織自身對所擁有的信息系統(tǒng)進行的風(fēng)險評估活動;他評估通常是由組織的上級主管機關(guān)或業(yè)務(wù)主管機關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標準進行的具有強制意味的檢查。自評估和他評估都可以通過風(fēng)險評估服務(wù)機構(gòu)進行咨詢、服務(wù)、培訓(xùn)以及風(fēng)險評估有關(guān)工具的提供。因此。對審計人員而言,受托執(zhí)行的信息安全風(fēng)險評估應(yīng)當(dāng)歸屬于管理咨詢類,即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計嚴格區(qū)分開來。
(二)風(fēng)險評估的內(nèi)容在我國國家質(zhì)量監(jiān)督檢驗檢疫總局的《信息安全風(fēng)險評估指南》(征求意見稿)國家標準中,它將信息安全風(fēng)險評估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險評估應(yīng)圍繞其基本要素展開,并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險評估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價值、安全需求、安全事件、殘余風(fēng)險等。在此基礎(chǔ)上的風(fēng)險計算過程是:(1)對信息資產(chǎn)進行識別,并對資產(chǎn)賦值;(2)對威脅進行分析,并對威
篇2
隨著現(xiàn)代經(jīng)濟社會的發(fā)展,人們生活水平得到提高的同時,生活的節(jié)奏越來越快,生活壓力也越來越大,幸福指數(shù)下降。心理疾病越來越多,不良情緒帶來了各種各樣的軀體不適,嚴重影響了患者的生活質(zhì)量。筆者對我院心內(nèi)科2008年1月—2011年8月住院的明確心臟神經(jīng)官能癥診斷的110例患者用穩(wěn)心顆粒治療,并追蹤隨訪觀察,治療效果顯著,安全有效,現(xiàn)總結(jié)報道如下。
1 資料與方法
1.1 病例選擇 選擇心內(nèi)科2008年1月—2011年8月住院的明確心臟神經(jīng)官能癥診斷的患者110例,其中男35例,女75例,年齡20歲~75歲。臨床表現(xiàn)為發(fā)作性心慌,胸悶,煩躁易怒,失眠,焦慮等。患者入選條件:明確診斷非器質(zhì)性心臟病患者。心臟B超正常,88例運動平板實驗為陰性結(jié)果,32例冠狀動脈造影排除冠心病。110例均行動態(tài)心電圖檢查,30例大致正常,55例提示頻發(fā)房性早搏,20例合并短陣房性心動過速,35例提示頻發(fā)室性早搏。
1.2 用藥方法 停用其他抗心律失常藥物及其他鎮(zhèn)靜安神藥物至少5個半衰期,給予穩(wěn)心顆粒治療,每次一包,每日3次,溫開水沖服,4周~8周為1個療程。
1.3 觀察療效指標 觀察患者自覺癥狀是否好轉(zhuǎn),心慌胸悶癥狀減輕或消失,失眠焦慮情緒改善,睡眠質(zhì)量提高,復(fù)查動態(tài)心電圖心律失常數(shù)目有無消失或顯著減少。 同時觀察藥物的安全性,復(fù)查血、尿、便常規(guī),肝腎功能,血脂,血糖,凝血功能。
2 結(jié) 果
2.1 臨床療效及實驗室檢查 治療4周后,110例患者中94例(85%)心悸癥狀顯著減少或消失,85例失眠,焦慮明顯改善(77%);13例患者合用艾司唑侖癥狀明顯改善;3例患者改為黛力新口服后癥狀改善。總有效率為88%。監(jiān)測血常規(guī),大小便常規(guī)、肝腎功能、血脂、血糖、凝血功能與用藥前無明顯變化。
2.2 心電圖改變 治療前后心率、PR間期、QRS波時限等無明顯變化。
2.3 動態(tài)心電圖變化 55例房性早搏患者服藥兩周后49例房性早搏明顯減少,總有效率90%,20例合并短陣房速患者17例房速消失,有效率85%。33例室性早搏患者28例室性早博次數(shù)明顯減少,有效率84%。穩(wěn)心顆粒對非器質(zhì)性心臟病合并心律失常療效明顯。
2.4 不良反應(yīng) 5例患者嫌藥物氣味難以接收停用,1例患者出現(xiàn)過敏反應(yīng),全身皮膚出現(xiàn)散在紅色丘疹,皮膚瘙癢,停藥1周后痊愈。未見其他藥物不良反應(yīng)。
3 討 論
篇3
建立良好的信息安全管理模式是鐵路信息系統(tǒng)安全穩(wěn)定運行的根本保障,有利于鐵路行業(yè)信息系統(tǒng)的發(fā)展。針對上述鐵路信息安全管理面臨的挑戰(zhàn),建立鐵路行業(yè)信息安全管理新模式,結(jié)合鐵路行業(yè)現(xiàn)有組織管理架構(gòu),借鑒已有的信息安全管理制度,明確信息安全工作的地位、目標、原則以及策略,從組織管理、制度及應(yīng)急管理、運行維護管理和等級保護管理幾個方面來深入考慮和分析,采用體系化管理方式保障信息系統(tǒng)的安全穩(wěn)定運行。
2.1健全組織管理機構(gòu)
信息安全組織管理方面,建立并逐步健全一套自上而下的安全組織機構(gòu),成立鐵路信息系統(tǒng)安全管理領(lǐng)導(dǎo)機構(gòu),作為系統(tǒng)安全管理的常設(shè)組織。同時,采用分層結(jié)構(gòu),以適應(yīng)鐵路行業(yè)鐵路總公司、鐵路局、站段3級管理機制。鐵路總公司領(lǐng)導(dǎo)機構(gòu)作為全路信息系統(tǒng)安全管理的常設(shè)領(lǐng)導(dǎo)機構(gòu),負責(zé)制定全路信息系統(tǒng)安全管理制度及辦法,鐵路信息系統(tǒng)安全防護技術(shù)的標準,制定安全管理制度。區(qū)域安全管理機構(gòu)主要職責(zé)有:負責(zé)各鐵路局的信息安全管理中心的日常管理工作,及時與安全專家協(xié)商討論安全執(zhí)行方案,執(zhí)行安全響應(yīng)中心制定的具體安全策略,定期向上級匯報信息安全管理相關(guān)工作,下設(shè)多個安全管理決策小組和管理執(zhí)行小組,管理執(zhí)行小組主要負責(zé)監(jiān)督和協(xié)調(diào)鐵路局下設(shè)各車站的信息安全管理執(zhí)行工作。車站級信息安全執(zhí)行分組包括安全監(jiān)督員、安全檢查員、安全執(zhí)行員3類安全工作人員。
2.2強化制度建設(shè)及工作流程管理
2.2.1管理制度
鐵路信息系統(tǒng)安全不僅要強化系統(tǒng)建設(shè),更要做好內(nèi)部安全管理建設(shè),具體要做好以下工作:
(1)建立專門的安全防御組織:針對鐵路信息系統(tǒng)整體安全,鐵路總公司應(yīng)成立專門的機構(gòu),負責(zé)網(wǎng)絡(luò)的安全管理和應(yīng)急響應(yīng)。鐵路局、基層站段相應(yīng)的部門,對鐵路基礎(chǔ)網(wǎng)實施自頂向下的實時監(jiān)控與管理。
(2)建立健全安全保密制度:各部門應(yīng)制定嚴格的安全保密條例,杜絕不必要的人員接觸和了解鐵路核心網(wǎng)絡(luò)設(shè)備與技術(shù),防止敏感信息泄露。對有權(quán)了解、處理關(guān)鍵信息的內(nèi)部人員制定更嚴格、更詳細的安全責(zé)任制度,明確個人在信息安全方面應(yīng)該承擔(dān)的職責(zé)以及發(fā)生責(zé)任事故后的處罰。
(3)建立健全數(shù)據(jù)安全保護措施:針對鐵路核心業(yè)務(wù)系統(tǒng)的關(guān)鍵數(shù)據(jù),需要建立完備的本地和異地備份制度,同時,采用雙機備份、物理隔離的技術(shù)方案,定時增量備份。
(4)定期實施漏洞掃描和系統(tǒng)補丁升級:系統(tǒng)管理人員需定期對網(wǎng)絡(luò)進行掃描,以檢測和評估網(wǎng)絡(luò)漏洞。檢測范圍包括所有的網(wǎng)絡(luò)設(shè)備和終端設(shè)備,同時掃描網(wǎng)絡(luò)內(nèi)所有主機系統(tǒng)的配置及安全漏洞。
(5)定期實施計算機安全檢查:針對處理關(guān)鍵數(shù)據(jù)的計算機,應(yīng)建立完善的日志,記錄所有與安全有關(guān)的事件。安全日志不僅要完整的記錄安全事件,而且需要具備防篡改、抗抵賴功能。
2.2.2標準制度
以信息安全相關(guān)管理和技術(shù)規(guī)范及不同層次的信息安全制度為重點,構(gòu)建科學(xué)嚴謹、有效適用、系統(tǒng)規(guī)范的信息安全管理標準制度體系。制定相應(yīng)的技術(shù)標準、作業(yè)辦法等,明確工作標準,流程,落實管理責(zé)任,規(guī)范作業(yè)行為。按照信息安全風(fēng)險管理的要求,對各項管理規(guī)章制度進行全面的清理和完善,不斷加強鐵路信息安全標準制度體系建設(shè),使鐵路信息安全風(fēng)險管理工作制度化、規(guī)范化和標準化。
2.2.3工作流程管理
信息安全管理流程包括信息安全培訓(xùn)工作流程、信息安全運行維護工作流程、信息安全風(fēng)險控制流程、信息安全應(yīng)急處置流程、信息安全監(jiān)督檢查與改進流程等各項管理工作流程。應(yīng)根據(jù)工作實際情況,建立健全、持續(xù)改進、推廣應(yīng)用先進的信息安全管理工作流程,使鐵路信息安全管理和運行維護工作專業(yè)化、標準化、規(guī)范化。
2.3建立信息安全運行維護管理體系
2.3.1安全風(fēng)險管理
鐵路信息系統(tǒng)安全管理中心采用風(fēng)險評估的方法,分析和評估系統(tǒng)的風(fēng)險源和安全威脅源,并根據(jù)各類信息資產(chǎn)的重要程度和價值,選擇適當(dāng)?shù)目刂拼胧p緩風(fēng)險。鐵路局要組織建立安全風(fēng)險管理體系,進行信息資產(chǎn)風(fēng)險評估和風(fēng)險處理。從理論上,風(fēng)險只能降低或減少而不能完全消除。選擇控制措施的原則是既能使鐵路信息系統(tǒng)受到與其價值和保密等級相符的保護,將其所受的風(fēng)險降低到可接受的水準,又能使所需要的費用在預(yù)算范圍之內(nèi),使鐵路行業(yè)能夠保持良好的競爭力和成功運作的狀態(tài)。另外,系統(tǒng)的風(fēng)險是動態(tài)的,風(fēng)險評估活動應(yīng)定期進行,特別是在系統(tǒng)的核心功能及技術(shù)發(fā)生重大變化和內(nèi)外環(huán)境發(fā)生重大變化時,風(fēng)險評估應(yīng)重新進行。
2.3.2安全運行維護
鐵路信息系統(tǒng)安全運行維護管理依托安全管理中心實現(xiàn)系統(tǒng)的安全運行維護。鐵路總公司信息系統(tǒng)安全管理中心運行維護平臺可實現(xiàn)對系統(tǒng)中的網(wǎng)絡(luò)、主機、安全系統(tǒng)、數(shù)據(jù)庫、中間件、存儲備份設(shè)備和應(yīng)用系統(tǒng)的可視、可控、可管理,協(xié)助運行維護人員監(jiān)控系統(tǒng)和及時發(fā)現(xiàn)問題。各鐵路局安全管理部門運行維護人員應(yīng)通過使用運行維護平臺,積極開展運行維護管理工作,實現(xiàn)鐵路局安全監(jiān)管監(jiān)察部門與鐵路總公司安全運行維護工作的有效連接。對各地區(qū)安全管理部門能夠處理的事件,按照路局區(qū)域內(nèi)管理流程執(zhí)行,并定時向鐵路總公司安全管理中心上報故障情況并提交運行維護處理單。
2.3.3安全應(yīng)急響應(yīng)
鐵路信息系統(tǒng)安全應(yīng)急響應(yīng)體系的建立應(yīng)做好以下5個階段工作。
(1)保護階段:制定應(yīng)急反應(yīng)工作流程計劃、確定預(yù)警和報警的方法、建立備份的體系和流程、建立安全的系統(tǒng)、進行應(yīng)急反應(yīng)事件處理的預(yù)演。
(2)預(yù)警與報警:識別和發(fā)現(xiàn)各種安全的緊急事件。在緊急情況發(fā)生前,產(chǎn)生安全的預(yù)警報告,在緊急情況發(fā)生時,產(chǎn)生安全警報給應(yīng)急反應(yīng)中心。應(yīng)急反應(yīng)中心將根據(jù)事件的級別,采取相應(yīng)措施。
(3)牽制與反饋:在確認緊急事件發(fā)生的情況下,應(yīng)急反應(yīng)中心將根據(jù)預(yù)先制定的反應(yīng)計劃,進入應(yīng)急反應(yīng)流程。同時,應(yīng)急反應(yīng)系統(tǒng)本身將根據(jù)預(yù)先制定的規(guī)則,采取相應(yīng)的措施,把緊急事件的影響降到最小。
(4)消除階段:對于系統(tǒng)內(nèi)部病毒,應(yīng)該采用最新的病毒專殺工具清除。對于系統(tǒng)的外部入侵和非法授權(quán)訪問等,應(yīng)該通過專用的漏洞掃描工具發(fā)現(xiàn)系統(tǒng)存在哪些漏洞,然后采用相應(yīng)的手段消除漏洞安全隱患。對于入侵攻擊或超量訪問要采用有效的攔截和限量訪問措施,使系統(tǒng)資源處于可控范圍。
(5)恢復(fù)階段:在數(shù)據(jù)或者系統(tǒng)被破壞,無法修復(fù)的情況下,應(yīng)進行系統(tǒng)的恢復(fù),且恢復(fù)要依據(jù)預(yù)先制定的恢復(fù)流程嚴格進行。
2.3.4安全策略優(yōu)化
制定有效的安全策略,當(dāng)原有安全策略無法滿足現(xiàn)有系統(tǒng)的安全需求時,要結(jié)合實際情況對系統(tǒng)安全管理策略進行調(diào)整優(yōu)化,以適應(yīng)新的安全管理制度。制定出符合鐵路信息系統(tǒng)的安全管理策略,以確保系統(tǒng)的信息安全保密性為主,采用多層次保護、最小授權(quán)、綜合保護和嚴格管理等措施。
2.3.5安全檢查審計
安全檢查審計依托安全管理平臺,通過對鐵路信息系統(tǒng)中相關(guān)信息的收集、分析和報告,判定現(xiàn)有系統(tǒng)安全控制手段的有效性,檢查系統(tǒng)的誤用和濫用行為,統(tǒng)計系統(tǒng)的安全事件,并按照安全事件的影響和危害程度進行等級劃分,從而驗證當(dāng)前安全策略的合規(guī)性,為以后的歸納總結(jié),安全系統(tǒng)的進一步改善提供依據(jù)。安全管理平臺根據(jù)從專項的日志審計產(chǎn)品、終端審計產(chǎn)品、數(shù)據(jù)庫審計產(chǎn)品和應(yīng)用審計產(chǎn)品中收集上來的信息進行關(guān)聯(lián)分析,進行審計規(guī)則匹配,發(fā)現(xiàn)違規(guī)行為并進行告警和響應(yīng)。通過安全審計與安全管理平臺的融合,使得安全審計體系的建設(shè)與安全管理平臺的建設(shè)目標達成了一致,有助于鐵路信息系統(tǒng)整體安全體系的形成和完善,并通過對安全事件的分析,把握系統(tǒng)安全威脅的發(fā)展趨勢,形成日報告或周報告進行定期安全信息通報,為系統(tǒng)的安全策略優(yōu)化提供決策性指導(dǎo)。
2.4建立等級保護管理制度
為切實做好信息安全管理工作,鐵路行業(yè)需要借助等級保護這一安全抓手,將等級保護與信息安全日常管理緊密結(jié)合,將信息安全管理全面納入鐵路運輸安全生產(chǎn)管理體系,按照“誰主管誰負責(zé)、誰運行誰維護”和屬地化管理原則,逐級落實信息安全責(zé)任,建立地方與總公司信息化發(fā)展相適應(yīng)的信息安全監(jiān)督管理機制。同時,為了在縱向上實現(xiàn)對等級保護的控制,鐵路行業(yè)主管部門在國家文件政策指導(dǎo)下,應(yīng)制定符合本行業(yè)安全需求的等級保護行業(yè)標準、行業(yè)等級保護實施方法等文件,用以指導(dǎo)本行業(yè)的等級保護工作,保障鐵路運輸及生產(chǎn)安全管理。
2.5建設(shè)鐵路信息安全綜合管理平臺
為保證鐵路信息安全等級保護工作的有序展開,需要建設(shè)信息安全綜合管理平臺,旨為鐵路總公司及下屬單位開展與信息安全管理相關(guān)工作的綜合工作平臺,功能將覆蓋鐵路總公司及其下屬單位的信息安全管理工作的主要內(nèi)容,并支持公安部等級保護管理工作。平臺主要提供以下3類功能:
(1)以信息系統(tǒng)定級、備案、整改、測評和檢查等規(guī)定步驟為主線,實現(xiàn)等級保護工作任務(wù)的下發(fā)、執(zhí)行、進度監(jiān)控和督辦;
(2)風(fēng)險管理、應(yīng)急管理、安全檢查和事故通報等專項管理功能;(3)日常辦公的綜合管理、培訓(xùn)教育、標準管理等。
篇4
1網(wǎng)絡(luò)安全管理的安全審計系統(tǒng)
1.1安全審計系統(tǒng)的組成
①事件產(chǎn)生器;②事件數(shù)據(jù)庫;③事件分析器;④響應(yīng)單元。事件產(chǎn)生器的作用:將單位網(wǎng)絡(luò)獲得的事件提供給網(wǎng)絡(luò)安全審計系統(tǒng);事件分析器的作用:詳細地分析所得到的數(shù)據(jù);事件響應(yīng)單元的作用:根據(jù)時間分析器得到的分析結(jié)果做出相應(yīng)的反映;事件數(shù)據(jù)庫的作用:保存時間分析器得到的分析結(jié)果。
1.2安全審計系統(tǒng)的要求
1.2.1記錄與再現(xiàn)記錄安全審計系統(tǒng)中全部違規(guī)操作、非法行為,再現(xiàn)系統(tǒng)某種狀態(tài)的主要行為。1.2.2入侵檢測審計系統(tǒng)檢查出大多數(shù)常見的系統(tǒng)入侵的意圖,設(shè)計相應(yīng)程序阻止入侵行為。1.2.3記錄入侵行為審計系統(tǒng)記錄所有的入侵企圖,對于成功入侵用戶,可以根據(jù)入侵記錄恢復(fù)系統(tǒng)。1.2.4系統(tǒng)本身的安全性安全審計系統(tǒng)必須保證自身系統(tǒng)操作系統(tǒng)和軟件安全以及審計數(shù)據(jù)安全才可以發(fā)揮其在網(wǎng)絡(luò)安全管理的作用。
2網(wǎng)絡(luò)安全審計的必要性
2.1提高企業(yè)數(shù)據(jù)安全管理績效
高新科技技術(shù)已經(jīng)滲透到社會方方面面,有利也有弊,其中企業(yè)來說,網(wǎng)絡(luò)信息安全的問題頻頻出現(xiàn),這對于企業(yè)網(wǎng)絡(luò)運營和實際經(jīng)營造成很大的沖擊、帶來經(jīng)濟損失。防火墻、防病毒軟件、反入侵系統(tǒng)雖然可以解決部分內(nèi)部用戶的非法違規(guī)網(wǎng)絡(luò)行為導(dǎo)致的網(wǎng)絡(luò)信息安全問題,某種程度也保障了網(wǎng)絡(luò)信息安全。網(wǎng)絡(luò)信息外部的防衛(wèi)無法抵御內(nèi)部用戶在沒有網(wǎng)絡(luò)監(jiān)管時對網(wǎng)絡(luò)內(nèi)部的不合法操作,網(wǎng)絡(luò)外部的安全防衛(wèi)措施無法解決網(wǎng)絡(luò)內(nèi)部出現(xiàn)的故障。所以企業(yè)網(wǎng)絡(luò)要正常運營、企業(yè)經(jīng)營要得到持續(xù)發(fā)展,必須要建立企業(yè)內(nèi)部的安全審計系統(tǒng),對內(nèi)部用戶訪問網(wǎng)絡(luò)系統(tǒng)進行嚴格監(jiān)控和審計,有必要時可以采取相應(yīng)措施懲戒造成網(wǎng)絡(luò)安全問題的人員,讓網(wǎng)絡(luò)信息安全事件不再發(fā)生。
2.2提高網(wǎng)絡(luò)信息安全性
(1)安全審計系統(tǒng)采取訪問控制手段對網(wǎng)絡(luò)信息進行安全審計和監(jiān)控,從而提高網(wǎng)絡(luò)信息安全;(2)對網(wǎng)絡(luò)信息加密實現(xiàn)網(wǎng)絡(luò)信息安全審計的目的,實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)私有,做到網(wǎng)絡(luò)安全管理,為了提高網(wǎng)絡(luò)信息安全水平要經(jīng)常維護與檢查安全日志;(3)安全審計網(wǎng)絡(luò)中傳輸?shù)男畔ⅲO(jiān)控網(wǎng)絡(luò)操作行為,提高網(wǎng)絡(luò)信息安全性,提供社會組織的網(wǎng)絡(luò)化行為安全性保障。
3安全審計系統(tǒng)在網(wǎng)絡(luò)安全管理的應(yīng)用
安全審計系統(tǒng)和基礎(chǔ)網(wǎng)絡(luò)病毒防護產(chǎn)品相互結(jié)合,共同保護網(wǎng)絡(luò)的整體安全。企業(yè)傳統(tǒng)的網(wǎng)絡(luò)安全體系建設(shè)只注重網(wǎng)絡(luò)邊界的安全,重點建設(shè)針對外部網(wǎng)絡(luò)向企業(yè)內(nèi)網(wǎng)攻擊的防護措施,沒有考慮到內(nèi)網(wǎng)自身存在的安全隱患,企業(yè)的網(wǎng)絡(luò)信息安全無法得到有效保障。因此,借助安全審計系統(tǒng)對企業(yè)網(wǎng)絡(luò)安全進行審計和評估,實現(xiàn)企業(yè)網(wǎng)絡(luò)的全面安全監(jiān)督。隨著互聯(lián)網(wǎng)科技快速發(fā)展,銀行金融行業(yè)處于信息化時代,信息化推動銀行智能化發(fā)展,銀行網(wǎng)絡(luò)信息安全對銀行安全穩(wěn)定發(fā)展非常重要,如銀行數(shù)據(jù)集中處理有風(fēng)險、網(wǎng)絡(luò)金融服務(wù)容易受到黑客、病毒攻擊等。由于銀行涉及到金錢等財務(wù)利益上的交易,而且銀行作為信息化時代以客戶為主導(dǎo)的服務(wù)行業(yè),必須嚴格地對客戶信息進行保密,保障客戶信息安全。不僅銀行關(guān)系到國計民生、對社會經(jīng)濟發(fā)展也具有重要意義,所以控制銀行信息化風(fēng)險的最有效方法就是建立銀行網(wǎng)絡(luò)信息安全審計系統(tǒng)。網(wǎng)絡(luò)的廣泛應(yīng)用給教育行業(yè)帶來很大便利,目前很多高校和發(fā)達地區(qū)中小學(xué)都建立自己的校園網(wǎng),但是網(wǎng)絡(luò)問題作為信息化水平發(fā)展的附屬品,給校園網(wǎng)安全管理造成很大困擾。雖然校園網(wǎng)已經(jīng)加大網(wǎng)絡(luò)外部病毒防御系統(tǒng)建設(shè),但是網(wǎng)絡(luò)內(nèi)部檢測和審計更需要引起重視,為了減少網(wǎng)絡(luò)有害信息和侵權(quán)行為,規(guī)范師生上網(wǎng)行為,維護校園網(wǎng)安全穩(wěn)定運行,非常有必要建立校園網(wǎng)絡(luò)安全審計系統(tǒng)。
4結(jié)語
本文詳細介紹了網(wǎng)絡(luò)安全管理的安全審計系統(tǒng)以及功能,并且闡述了網(wǎng)絡(luò)安全審計的必要性,安全審計系統(tǒng)的使用,使網(wǎng)絡(luò)監(jiān)控力度大大加強,讓網(wǎng)絡(luò)監(jiān)控效率得到顯著提高,為信息化建設(shè)提供了良好的保障。
參考文獻
[1]付曉坤.網(wǎng)絡(luò)安全審計技術(shù)的運用[J].中國水運,2013(09):50-51.
篇5
隨著信息化技術(shù)的高速發(fā)展和深入應(yīng)用,企業(yè)對信息系統(tǒng)的依賴性越來越強,絕大部分的業(yè)務(wù)從紙面遷移到信息系統(tǒng)當(dāng)中,如何建立穩(wěn)固的信息安全管理體系已經(jīng)成為各企業(yè)信息管理部門甚至管理層的重要課題。本文將通過對目前國際信息安全行業(yè)發(fā)展的分析,提出企業(yè)構(gòu)建穩(wěn)固的信息安全管理架構(gòu),提高信息安全水平的初步構(gòu)想。
1企業(yè)信息安全政策
信息安全政策作為信息安全工作的重中之重,直接展現(xiàn)了企業(yè)的信息安全工作的思路。其應(yīng)當(dāng)由企業(yè)信息安全工作的使命和遠景,實施準則等幾部分組成。
1.1信息安全工作的使命
信息安全工作的核心意義是將企業(yè)所面臨的風(fēng)險管理至一個可接受的水平。
當(dāng)前主流的風(fēng)險控制包含以下四個步驟:通過風(fēng)險評估方法來評估風(fēng)險;制定安全策略來降低風(fēng)險;通過監(jiān)控控制惡意未授權(quán)行為;有效地審計。
1.2信息安全工作的愿景
安全的企業(yè)信息化環(huán)境可以為任何企業(yè)用戶提供安全便捷的信息化服務(wù),應(yīng)用,基礎(chǔ)設(shè)施,并保護用戶的隱私。讓用戶有安全的身份驗證;能安全便捷的使用需要的數(shù)據(jù)和應(yīng)用資源;保證通訊和數(shù)據(jù)的保密性;明確自身的角色,了解角色在企業(yè)中的信息安全責(zé)任;身邊出現(xiàn)的信息安全風(fēng)險和威脅能得到迅速響應(yīng)。
要達到上述目的,企業(yè)需要進行有效的風(fēng)險管理。風(fēng)險管理是一個識別風(fēng)險、評估風(fēng)險、降低風(fēng)險的過程。在這個過程中,需要權(quán)衡降低風(fēng)險的成本和業(yè)務(wù)的需求,確定風(fēng)險的優(yōu)先級別,為管理層的決策提供有效的支持。
1.3信息安全準則
信息安全準則是風(fēng)險評估和制定最優(yōu)解決方案的關(guān)鍵,優(yōu)秀的信息安全準則包括:根據(jù)企業(yè)業(yè)務(wù)目標執(zhí)行風(fēng)險管理;有組織的確定員工角色和責(zé)任;對用戶和數(shù)據(jù)實行最小化權(quán)限管理;在應(yīng)用和系統(tǒng)的計劃和開發(fā)過程中就考慮安全防護的問題;在應(yīng)用中實施逐層防護;建立高度集成的安全防護框架;將監(jiān)控、審計和快速反應(yīng)結(jié)合為一體。
良好信息安全準則可以讓企業(yè)內(nèi)外部用戶了解企業(yè)信息安全理念,從而讓企業(yè)信息管理部門更好地對風(fēng)險進行管控。
2企業(yè)信息安全管理的主要手段
2.1網(wǎng)絡(luò)安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求,由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標準,因此存在信息安全隱患。控制此類風(fēng)險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網(wǎng)絡(luò)接入等。
(2)遠程接入控制。隨著VPN[2-3]技術(shù)的不斷發(fā)展,遠程接入的風(fēng)險已降低到企業(yè)的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術(shù)的發(fā)展。企業(yè)采用USB KEY,動態(tài)口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網(wǎng)絡(luò)劃分。在過去,企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟,非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec[4]技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全,實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。
(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補充,主要用于監(jiān)控網(wǎng)絡(luò)傳輸,在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備,入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為,隨著信息技術(shù)的發(fā)展,各大安全廠商如賽門鐵克,思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。
(5)無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域,給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全,信息管理部門需要使用更新更安全的協(xié)議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò);利用802.1x和EAP技術(shù)加強對無線網(wǎng)絡(luò)的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。
(2)用戶權(quán)限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權(quán)限進行管理,需要企業(yè)具有完善的身份管理平臺,從而實現(xiàn)授權(quán)流程的自動化,并實現(xiàn)企業(yè)內(nèi)應(yīng)用的單點登陸。
(3)公鑰系統(tǒng)[5]。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊,無線網(wǎng)絡(luò)訪問授權(quán),VPN接入,文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平,因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。
2.3監(jiān)控與審計
(1)病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng),在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統(tǒng)補丁,以減少桌面終端的安全風(fēng)險。此類管控手段通常需要在用戶的終端上安裝客戶端,或?qū)K端進行定制,在終端接入企業(yè)內(nèi)網(wǎng)時,終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進行綜合評估打分,通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成:防病毒系統(tǒng);內(nèi)容過濾網(wǎng)關(guān);郵件過濾網(wǎng)關(guān);惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。
(3)安全事件記錄和審計。企業(yè)應(yīng)當(dāng)配置日志審計系統(tǒng),收集信息安全事件,產(chǎn)生審計記錄,根據(jù)記錄進行安全事件分析,并采取相應(yīng)的處理措施。
2.4培訓(xùn)與宣傳
提高企業(yè)管理層和員工的信息安全意識,是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性,管理層才會支持信息安全管理建設(shè),用戶才會配合信息管理部門工作。利用定期培訓(xùn),宣傳海報,郵件等方式定期反復(fù)對企業(yè)用戶進行信息安全培訓(xùn)和宣傳,能有效提高企業(yè)信息安全管理水平。
3總結(jié)
當(dāng)前,越來越多的企業(yè)已經(jīng)把信息安全看做影響業(yè)務(wù)發(fā)展的核心因素之一,信息安全管理已經(jīng)成為企業(yè)管理的重點。本文對信息安全政策,安全管理手段等方面進行了剖析,結(jié)合當(dāng)前國際主流的信息安全解決辦法,為企業(yè)做好,做強信息安全管理體系給出了一些通用性的標準,對企業(yè)構(gòu)建信息安全管理體系,消除信息安全隱患,避免信息安全事件造成的損失,確保信息系統(tǒng)安全、穩(wěn)定運行具有探索意義。
參考文獻:
[1]何劍虹,白曉穎,李潤玲,崔智社.基于SLA的面向服務(wù)的基礎(chǔ)設(shè)施[J].電訊技術(shù),2011,51(9):100-105.
[2]胡道元,閡京華.網(wǎng)絡(luò)安全[M].北京:清華大學(xué)出版社,2004.
篇6
2.1網(wǎng)絡(luò)安全
(1)保證安全的外部人員連接。在日常工作中,外部合作伙伴經(jīng)常會提出聯(lián)入企業(yè)內(nèi)網(wǎng)的需求,由于這些聯(lián)入內(nèi)網(wǎng)的外部人員及其終端并不符合企業(yè)的信息安全標準,因此存在信息安全隱患。控制此類風(fēng)險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段;全面管控外部單位的網(wǎng)絡(luò)接入等。
(2)遠程接入控制。隨著VPN技術(shù)的不斷發(fā)展,遠程接入的風(fēng)險已降低到企業(yè)的可控范圍,而近年來移動辦公的興起更是推動了遠程接入技術(shù)的發(fā)展。企業(yè)采用USBKEY,動態(tài)口令牌等硬件認證方式的遠程接入要更加的安全。
(3)網(wǎng)絡(luò)劃分。在過去,企業(yè)內(nèi)部以開放式的網(wǎng)絡(luò)為主。隨著網(wǎng)絡(luò)和互聯(lián)網(wǎng)信息技術(shù)的成熟,非受控終端給企業(yè)內(nèi)網(wǎng)帶來的安全壓力越來越大。這些不受信任的終端為攻擊者提供了訪問企業(yè)網(wǎng)絡(luò)的路徑。信息管理部門可以利用IPSec技術(shù)有效提高企業(yè)網(wǎng)絡(luò)安全,實現(xiàn)對位于公司防火墻內(nèi)部終端的完全管控。
(4)網(wǎng)絡(luò)入侵檢測系統(tǒng)。網(wǎng)絡(luò)入侵檢測系統(tǒng)作為防火墻的補充,主要用于監(jiān)控網(wǎng)絡(luò)傳輸,在檢測到可疑傳輸行為時報警。作為企業(yè)信息安全架構(gòu)的必備設(shè)備,入侵檢測系統(tǒng)能有效防控企業(yè)外部的惡意攻擊行為,隨著信息技術(shù)的發(fā)展,各大安全廠商如賽門鐵克,思科等均研發(fā)出來成熟的入侵檢測系統(tǒng)產(chǎn)品。
(5)無線網(wǎng)絡(luò)安全。無線網(wǎng)絡(luò)現(xiàn)在已遍布企業(yè)的辦公區(qū)域,給企業(yè)和用戶帶來便利的同時也存在信息安全的隱患。要保證企業(yè)內(nèi)部無線網(wǎng)絡(luò)的安全,信息管理部門需要使用更新更安全的協(xié)議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網(wǎng)絡(luò);利用802.1x和EAP技術(shù)加強對無線網(wǎng)絡(luò)的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解,而脆弱的密碼在一分鐘內(nèi)就可以被破解。提高企業(yè)用戶的密碼強度是訪問控制的必要手段。為避免弱密碼可能對公司造成的危害,企業(yè)必須制定密碼策略并利用技術(shù)手段保證執(zhí)行。
(2)用戶權(quán)限管理。企業(yè)的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權(quán)限進行管理,需要企業(yè)具有完善的身份管理平臺,從而實現(xiàn)授權(quán)流程的自動化,并實現(xiàn)企業(yè)內(nèi)應(yīng)用的單點登陸。
(3)公鑰系統(tǒng)。公鑰系統(tǒng)是訪問控制乃至信息安全架構(gòu)的核心模塊,無線網(wǎng)絡(luò)訪問授權(quán),VPN接入,文件加密系統(tǒng)等均可以通過公鑰系統(tǒng)提升安全水平,因此企業(yè)應(yīng)當(dāng)部署PKI/CA系統(tǒng)。
2.3監(jiān)控與審計
(1)病毒掃描與補丁管理。企業(yè)需要統(tǒng)一的防病毒系統(tǒng)和終端管理系統(tǒng),在終端定期更新病毒定義,進行病毒自掃描,自動更新操作系統(tǒng)補丁,以減少桌面終端的安全風(fēng)險。此類管控手段通常需要在用戶的終端上安裝客戶端,或?qū)K端進行定制,在終端接入企業(yè)內(nèi)網(wǎng)時,終端管理系統(tǒng)會在隔離區(qū)域?qū)υ摻K端進行綜合評估打分,通過評估后方能接入內(nèi)網(wǎng)。才能保證系統(tǒng)的安全策略被有效執(zhí)行。
(2)惡意軟件防控。主流的惡意軟件防控體系主要由五部分構(gòu)成:防病毒系統(tǒng);內(nèi)容過濾網(wǎng)關(guān);郵件過濾網(wǎng)關(guān);惡意網(wǎng)頁過濾網(wǎng)關(guān)和入侵檢測軟件。
(3)安全事件記錄和審計。企業(yè)應(yīng)當(dāng)配置日志審計系統(tǒng),收集信息安全事件,產(chǎn)生審計記錄,根據(jù)記錄進行安全事件分析,并采取相應(yīng)的處理措施。
2.4培訓(xùn)與宣傳提高企業(yè)管理層和員工的信息安全意識,是信息安全管理工作的基礎(chǔ)。了解信息安全的必要性,管理層才會支持信息安全管理建設(shè),用戶才會配合信息管理部門工作。利用定期培訓(xùn),宣傳海報,郵件等方式定期反復(fù)對企業(yè)用戶進行信息安全培訓(xùn)和宣傳,能有效提高企業(yè)信息安全管理水平。
篇7
第27卷第3期2012年5月審計與經(jīng)濟研究JOURNAL OF AUDIT & ECONOMICSVol.27, No. 3May, 2012
[摘要]在分析中觀信息系統(tǒng)風(fēng)險與損失的成因基礎(chǔ)上,借鑒BS7799標準,一方面從物理層次與邏輯層次兩個方面研究中觀信息系統(tǒng)固有風(fēng)險的評價模式;另一方面從一般控制與應(yīng)用控制兩個層面探索中觀信息系統(tǒng)內(nèi)部控制的評價機制。基于BS7799標準對中觀信息系統(tǒng)審計進行研究,旨在為IT審計師有效實施中觀信息系統(tǒng)審計提供應(yīng)用指南。
[關(guān)鍵詞]BS7799標準;中觀審計;信息系統(tǒng)審計;內(nèi)部控制;中觀信息系統(tǒng);中觀信息系統(tǒng)風(fēng)險
[中圖分類號]F239.4[文獻標識碼]A[文章編號]10044833(2012)03005007
所謂中觀信息系統(tǒng)審計就是指審計主體依據(jù)特定的規(guī)范,運用科學(xué)系統(tǒng)的程序方法,對中觀信息系統(tǒng)網(wǎng)絡(luò)的運行規(guī)程與應(yīng)用政策實施的一種監(jiān)督活動,旨在增強中觀經(jīng)濟主體特定信息網(wǎng)絡(luò)的有效性、安全性、機密性與一致性,以保障中觀信息系統(tǒng)的高效運行[1]。中觀信息系統(tǒng)的審計主體即IT審計師需要重視中觀信息系統(tǒng)審計的復(fù)雜性,且有必要借助BS7799標準,構(gòu)建并完善中觀信息系統(tǒng)審計的實施流程,優(yōu)化中觀信息系統(tǒng)審計工作,提高審計質(zhì)量。之所以需要借助BS7799標準,是因為BS7799標準的眾多功能可以滿足中觀信息系統(tǒng)審計工作的需求。在尚未有詳細信息系統(tǒng)審計(以下簡稱“IS審計”)規(guī)范的條件下,中觀信息系統(tǒng)審計對信息安全管理策略的需求巨大,而BS7799標準恰恰是問世較早且相對成熟的信息安全管理標準,它能夠確保在計算機網(wǎng)絡(luò)系統(tǒng)進行自動通信、信息處理和利用時,在各個物理位置、邏輯區(qū)域、存儲和傳媒介質(zhì)中,較好地實現(xiàn)保密性、完整性、有效性與可用性,能夠在信息管理與計算機科學(xué)兩個層面加強信息安全管理向中觀信息系統(tǒng)審計的理論轉(zhuǎn)化,中觀信息系統(tǒng)審計的需求與BS7799標準的功能具備整合的可行性。
一、 BS7799標準
1995年,英國貿(mào)工部制定了世界首部信息安全管理體系標準“BS77991:1995《信息安全管理實施規(guī)則》”,并作為各類組織實施信息安全管理的指南[2],由于該標準采用建議和指導(dǎo)的方式編寫,因而不作為認證標準使用;1998年,英國又制定了信息安全管理體系認證標準“BS77992:1998《信息安全管理體系規(guī)范》”,作為對組織信息安全管理體系進行評審認證的標準[3];1999年,英國再次對信息安全管理體系標準進行了修訂,形成“BS77991:1999”與“BS77992:1999”這一對配套標準;2000年12月,“BS77991:1999”被ISO/IEC正式采納為國際標準“ISO/IEC17799:2000《信息技術(shù):信息安全管理實施規(guī)則》”,此外,“BS77992:1999”也于2002年底被ISO/IEC作為藍本修訂,成為可用于認證的“ISO/IEC《信息安全管理體系規(guī)范》”;2005年,BS77991與BS77992再次改版,使得體系更為完善。BS7799標準體系包含10個管理要項、36個管理目標、127個控制目標及500多個管理要點。管理要項如今已成為組織實施信息安全管理的實用指南;安全控制目標能夠幫助組織識別運作過程中影響信息安全的因素。BS77991幾乎涵蓋了所有的安全議題,它主要告訴IT審計師安全管理的注意事項與安全制度。BS77992詳細說明了建立、實施和維護信息安全管理的要求,指出組織在實施過程中需要遵循的風(fēng)險評估等級,從而識別最應(yīng)該控制的對象并對自身需求進行適當(dāng)控制。BS77991為信息系統(tǒng)提供了通用的控制措施,BS77992則為BS77991的具體實施提供了應(yīng)用指南。
國外相對成熟的信息安全管理理論較多,它們各有千秋,彼此之間相互補充且有交叉。BS7799標準僅是眾多信息安全管理理論中的一種,與傳統(tǒng)審計方法相比,僅適用于IS審計范疇。然而,BS7799標準的特別之處表現(xiàn)在:其一,它是一部通用的信息安全管理指南,呈現(xiàn)了較為全面的系統(tǒng)安全控制措施,闡述了安全策略和優(yōu)秀的、具有普遍意義的安全操作方法,能夠為IT審計師開展審計工作提供全程支持;其二,它遵循“計劃-行動-控制-改善方案”的風(fēng)險管理思想,首先幫助IT審計師規(guī)劃信息安全審計的方針和范圍,其次在審計風(fēng)險評估的基礎(chǔ)上選擇適當(dāng)?shù)膶徲嫹椒帮L(fēng)險控制策略并予以實施,制定持續(xù)性管理規(guī)劃,建立并運行科學(xué)的中觀信息系統(tǒng)審計執(zhí)行體系。
二、 中觀信息系統(tǒng)的風(fēng)險與損失
中觀信息系統(tǒng)風(fēng)險是指成功利用中觀信息系統(tǒng)的脆弱性或漏洞,并造成系統(tǒng)損害的可能性。中觀信息系統(tǒng)風(fēng)險極其龐雜且非常普遍,每個中觀信息系統(tǒng)面臨的風(fēng)險都是不同的,這種風(fēng)險可能是單一的,也可能是組合的[4]。中觀信息系統(tǒng)風(fēng)險包括:人員風(fēng)險、組織風(fēng)險、物理環(huán)境風(fēng)險、信息機密性風(fēng)險、信息完整性風(fēng)險、系統(tǒng)風(fēng)險、通信操作風(fēng)險、設(shè)施風(fēng)險、業(yè)務(wù)連續(xù)性風(fēng)險、法律風(fēng)險及黏合風(fēng)險(見圖1),它們共同構(gòu)成了中觀信息系統(tǒng)的風(fēng)險體系,各種風(fēng)險除具有各自的特性外,有時還可能相互作用。
中觀信息系統(tǒng)風(fēng)險的成因離不開外來威脅與系統(tǒng)自身的脆弱性,且風(fēng)險的最終后果就是損失。圖1中的“a.威脅性”是系統(tǒng)的“風(fēng)險源”,它是由于未授權(quán)訪問、毀壞、數(shù)據(jù)修改以及拒絕服務(wù)等給系統(tǒng)造成潛在危害的任何事件。中觀信息系統(tǒng)的威脅來自于人為因素及非人為因素兩個方面。人為因素是對中觀信息系統(tǒng)造成威脅的決定性力量,人為因素造成威脅的主體有競爭對手、網(wǎng)絡(luò)黑客、不滿員工或正常員工。圖1中的“b.脆弱性”是指在系統(tǒng)安全程序、管理控制、物理設(shè)計中存在的、可能被攻擊者利用來獲得未授權(quán)信息或破壞關(guān)鍵處理的弱點,由物理環(huán)境、技術(shù)問題、管理問題、法律問題四個方面組成。圖1中的“d.風(fēng)險承受力”是指在中觀信息系統(tǒng)遭遇風(fēng)險或受到攻擊時,維持業(yè)務(wù)運行最基本的服務(wù)和保護信息資產(chǎn)的抵抗力、識別力、恢復(fù)力和自適應(yīng)能力。
中觀信息系統(tǒng)風(fēng)險的產(chǎn)生有兩種方式:一是遵循“abc”路徑,這條路徑形成的風(fēng)險為中觀信息系統(tǒng)“固有風(fēng)險”,即假定中觀信息系統(tǒng)中不存在內(nèi)部控制制度,從而造成系統(tǒng)存在嚴重錯誤與不法行為的可能性。該路徑的作用形式為人為因素或非人為因素是風(fēng)險源,對中觀信息系統(tǒng)構(gòu)成威脅,該威脅產(chǎn)生后尋找并利用系統(tǒng)的脆弱點(假定中觀信息系統(tǒng)對該脆弱點沒有設(shè)計內(nèi)控制度),當(dāng)威脅成功作用于脆弱點后,就對系統(tǒng)進行有效攻擊,進而產(chǎn)生中觀信息系統(tǒng)風(fēng)險。二是遵循“abPc”路徑,該路徑所形成的風(fēng)險為中觀信息系統(tǒng)的“控制風(fēng)險”,即內(nèi)部控制制度體系未能及時預(yù)防或發(fā)現(xiàn)系統(tǒng)中的某些錯誤或不法行為,以致中觀信息系統(tǒng)遭受損失的可能性。與“abc”路徑比較,該路徑多出“P.內(nèi)部控制”過程,這說明當(dāng)威脅已產(chǎn)生并將利用系統(tǒng)的脆弱點時,中觀經(jīng)濟主體已經(jīng)對該脆弱點設(shè)計了內(nèi)控制度體系,但是由于內(nèi)部控制制度設(shè)計的不科學(xué)、不完善或沒有得到有效執(zhí)行,從而造成內(nèi)部控制未能阻止“威脅”,致使中觀信息系統(tǒng)形成風(fēng)險。中觀信息系統(tǒng)損失的形成遵循“cde”路徑。然而,由于中觀信息系統(tǒng)自身具有一定的風(fēng)險防御能力(即“d.風(fēng)險承受力”),因而并非所有風(fēng)險都將造成損失。當(dāng)中觀信息系統(tǒng)識別并抵抗部分風(fēng)險后,最終未能消除的風(fēng)險通過對系統(tǒng)的負面作用,會給中觀信息系統(tǒng)造成間接或直接的損失。
三、 中觀信息系統(tǒng)固有風(fēng)險的評價模式
圖1中的“abc”路徑是中觀信息系統(tǒng)固有風(fēng)險產(chǎn)生的路徑,固有風(fēng)險形成的條件是“假定不存在內(nèi)部控制制度”。評價固有風(fēng)險是中觀信息系統(tǒng)審計準備階段的一項基礎(chǔ)工作,只有正確評價固有風(fēng)險,才能合理評估審計風(fēng)險,準確確定審計范圍并制定審計計劃[56]。筆者認為,BS7799標準之所以能夠有效評價中觀信息系統(tǒng)的固有風(fēng)險,是因為BS7799標準的管理要項、管理目標,控制措施與管理要點組成了信息安全管理體系,這個體系為IT審計師確定與評價系統(tǒng)固有風(fēng)險提供了指南[7]。BS7799標準對IT審計師評價固有風(fēng)險的貢獻見上表1。
(一) 物理層次的風(fēng)險評價
物理層次的內(nèi)容包括物理環(huán)境安全與物理環(huán)境設(shè)備[7],其中,物理環(huán)境安全包括硬件接觸控制、預(yù)防災(zāi)難措施和網(wǎng)絡(luò)環(huán)境安全;物理環(huán)境設(shè)備包括支持設(shè)施、硬件設(shè)備和網(wǎng)絡(luò)物理環(huán)境。針對上述分類,下面對物理層次風(fēng)險評價進行具體分析。
首先是物理環(huán)境安全風(fēng)險評價。在評價物理環(huán)境安全風(fēng)險時,可以借鑒BS7799標準A、B、D1、D3、E、G8、H5、I、J。例如,IT審計師在了解被審中觀信息系統(tǒng)的“預(yù)防災(zāi)難措施”時,可參照“A.安全方針”,依據(jù)BS7799對“安全方針”進行闡述,了解被審系統(tǒng)的“信息安全方針”,關(guān)注被審系統(tǒng)在相關(guān)的“方針與策略”中是否估計到了系統(tǒng)可能遭遇的所有內(nèi)外部威脅;當(dāng)威脅發(fā)生時,是否有具體的安全保護規(guī)定及明確的預(yù)防措施;對于方針的執(zhí)行,是否對每位員工都有所要求。假若IT審計師在審計中未找到被審系統(tǒng)的“安全方針”,或找到了但“安全方針”并未涉及有關(guān)“災(zāi)難預(yù)防”方面的安全措施,則IT審計師可直接認定被審系統(tǒng)在這方面存在固有風(fēng)險。其次,物理環(huán)境設(shè)備風(fēng)險評價。在評價物理環(huán)境設(shè)備風(fēng)險時,可以借鑒BS7799標準A、B、C1、D、E2、E3、F6、G3、G8、H5、I、J。例如,IT審計師在了解被審系統(tǒng)有關(guān)“硬件設(shè)備”的情況時,可參照“C1.資產(chǎn)責(zé)任”。BS7799標準對“資產(chǎn)責(zé)任”的說明有“組織可根據(jù)運作流程與系統(tǒng)結(jié)構(gòu)識別資產(chǎn),列出清單”,“組織的管理者應(yīng)該確定專人負責(zé)相關(guān)資產(chǎn),防止資產(chǎn)的被盜、丟失與濫用”。借鑒C1的信息安全管理目標與措施,IT審計師可以關(guān)注被審單位是否列出了系統(tǒng)硬件設(shè)備的清單,是否有專人對資產(chǎn)負責(zé)。如果相關(guān)方面的管理完備,則說明“硬件設(shè)備”在責(zé)任方面不存在固有風(fēng)險,IT審計師也不需要再對此方面的固有風(fēng)險進行評價。再如,IT審計師在確認“硬件設(shè)備”方面的固有風(fēng)險時,還可參照“E3.通用控制”。BS7799標準對“通用控制”的說明有“定期進行資產(chǎn)清查”,“未經(jīng)授權(quán),資產(chǎn)不能隨便遷移”等。借鑒這一措施,IT審計師需要了解被審系統(tǒng)的有關(guān)資產(chǎn)清查記錄以及資產(chǎn)轉(zhuǎn)移登記手續(xù),如果相關(guān)記錄不完整或手續(xù)不完備,則IT審計師可直接認定“硬件設(shè)備”在控制方面存在固有風(fēng)險。
(二) 邏輯層次的風(fēng)險評價
邏輯層次的內(nèi)容包括軟件環(huán)境、系統(tǒng)生命周期和邏輯安全[7]。其中,軟件環(huán)境包括系統(tǒng)軟件、網(wǎng)絡(luò)軟件與應(yīng)用軟件;系統(tǒng)生命周期包括系統(tǒng)規(guī)劃、分析、設(shè)計、編碼、測試、試運行以及維護;邏輯安全包括軟件與數(shù)據(jù)接觸、數(shù)據(jù)加密機制、數(shù)據(jù)完整性、入侵檢測、病毒與惡意代碼以及防火墻。針對以上分類,下面對邏輯層次風(fēng)險評價進行具體分析。
首先是軟件環(huán)境風(fēng)險評價。在評價軟件環(huán)境風(fēng)險時可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。例如,IT審計師在掌握被審系統(tǒng)有關(guān)“網(wǎng)絡(luò)軟件”的情況時,可借鑒“G2.用戶訪問管理”標準。BS7799對該標準的闡述包括“建立用戶登記過程,對用戶訪問實施授權(quán)”,“對特權(quán)實行嚴格管理”,“對用戶口令進行嚴格管理”等。借鑒G2下相關(guān)信息安全管理措施,IT審計師可以詳細核查被審網(wǎng)絡(luò)軟件是否建立了用戶注冊與登記過程、被審軟件的特權(quán)管理是否嚴格、是否要求用戶秘密保守口令。假若IT審計師發(fā)現(xiàn)用戶并未得到訪問網(wǎng)絡(luò)軟件的權(quán)限卻可以輕易訪問網(wǎng)絡(luò)軟件,則該軟件必然存在風(fēng)險,IT審計師就可通過與BS7799標準比照并發(fā)表評價結(jié)論。又如,IT審計師在評價“系統(tǒng)軟件”固有風(fēng)險時,可借鑒“G5.系統(tǒng)訪問與使用的監(jiān)控”標準。該標準的闡述有“使用終端安全登陸程序來訪問信息服務(wù)”,“對高風(fēng)險的不活動終端采取時限措施”。IT審計師在評價“系統(tǒng)軟件”自身風(fēng)險時,可套用上述安全措施,逐項分析被審系統(tǒng)軟件是否完全達到上述標準并作出合理的風(fēng)險評價。其次是系統(tǒng)生命周期的風(fēng)險評價。在評價系統(tǒng)生命周期風(fēng)險時,可借鑒BS7799標準A、B、D1、D3、E、F1、F2、F3、F4、F6、F7、G、H、I、J。如IT審計師在檢查被審系統(tǒng)的“系統(tǒng)設(shè)計”時,可參照“H1.系統(tǒng)安全要求”。H1的解釋為“系統(tǒng)設(shè)計階段應(yīng)該充分考慮系統(tǒng)安全性,組織在項目開始階段需要識別所有的安全要求,并將其作為系統(tǒng)設(shè)計開發(fā)不可或缺的一部分進行調(diào)整與確認”。因而,IT審計師在檢查系統(tǒng)設(shè)計有關(guān)資料時,需要分析被審單位是否把上述解釋融入系統(tǒng)設(shè)計中,或是否全面、有效地融入設(shè)計過程,如果被審單位考慮了諸因素,IT審計師就可以確認被審系統(tǒng)的設(shè)計環(huán)節(jié)在此方面不存在風(fēng)險。假若IT審計師發(fā)現(xiàn)在系統(tǒng)設(shè)計階段被審單位沒有考慮到需要“引入控制”,且在系統(tǒng)運營期間對系統(tǒng)的“控制”也不夠重視,則IT審計師可以作出系統(tǒng)自身安全及系統(tǒng)設(shè)計開發(fā)過程存在風(fēng)險的結(jié)論。第三是邏輯安全的風(fēng)險評價。在評價邏輯安全風(fēng)險時,可以借鑒BS7799標準A、B、C2、D、E1、E3、F、G1、G2、G4、G5、G6、G7、G8、H、I、J。IT審計師在檢查被審系統(tǒng)的“病毒與惡意代碼”時,可借鑒“G4.網(wǎng)絡(luò)訪問控制”。BS7799對該標準的闡述有“建立并實施網(wǎng)絡(luò)用戶服務(wù)使用方針”,“從用戶終端到網(wǎng)絡(luò)服務(wù)的路徑必須受到控制”以及“對外部鏈接的用戶進行身份鑒別”等。IT審計師在審計過程中,應(yīng)該關(guān)注被審系統(tǒng)在上述方面的執(zhí)行思路與執(zhí)行程度,假若被審單位對上述方面缺乏重視,則惡意用戶未經(jīng)授權(quán)或未受限制就能輕易訪問系統(tǒng),系統(tǒng)遭受病毒或惡意代碼損害的風(fēng)險會相應(yīng)加大。再如,IT審計師在評價系統(tǒng)“數(shù)據(jù)完整性”的風(fēng)險時,可借鑒“F1.操作程序與職責(zé)”。該標準的描述有“在執(zhí)行作業(yè)的過程中,提供差錯處理及例外情況的指導(dǎo)”,“進行職責(zé)分離,減少出現(xiàn)非授權(quán)更改與數(shù)據(jù)信息濫用的機會”等。結(jié)合上述措施,IT審計師應(yīng)該關(guān)注被審單位是否通過外鍵、約束、規(guī)則等方式保障數(shù)據(jù)的完整性,如果被審單位沒有按照上述方法操作,則被審系統(tǒng)將會在“數(shù)據(jù)完整性”方面存在風(fēng)險。
需要強調(diào)的是中觀信息系統(tǒng)固有風(fēng)險的評價較為復(fù)雜。在理論研究中,本文僅選取BS7799的某些標準舉例進行闡述,但在實踐中,IT審計師不應(yīng)只借鑒BS7799標準的單個或部分標準,就做出某方面存在“固有風(fēng)險”的結(jié)論。如僅從C1看,“硬件設(shè)備”無固有風(fēng)險,但從E3看,“硬件設(shè)備”確實存在固有風(fēng)險。鑒于此,IT審計師應(yīng)由“點”及“面”,全面借鑒BS7799標準的整個體系。只有如此,才能更科學(xué)具體地進行物理及邏輯層次的風(fēng)險評價。
四、 中觀信息系統(tǒng)內(nèi)部控制的評價機制
圖1中的“abPc”路徑是中觀信息系統(tǒng)控制風(fēng)險產(chǎn)生的路徑,控制風(fēng)險的形成條件是“假定存在內(nèi)部控制制度,但是內(nèi)控制度不科學(xué)、不健全或執(zhí)行不到位”,產(chǎn)生控制風(fēng)險最主要的原因是內(nèi)部控制機制失效,即“P”過程出現(xiàn)問題。評價內(nèi)部控制是IT審計師防范審計風(fēng)險的關(guān)鍵,也是中觀信息系統(tǒng)審計實施階段的一項重要工作。然而,當(dāng)前我國信息系統(tǒng)審計方面的標準與規(guī)范僅有四項,因而IT審計師對信息系統(tǒng)內(nèi)部控制的評價還處于摸索階段,急需詳細的流程與規(guī)范進行指導(dǎo)。筆者認為,BS77991《信息安全管理實施細則》與BS77992《信息安全管理體系規(guī)范》能夠為IT審計師評價中觀信息系統(tǒng)的內(nèi)部控制提供思路。BS7799是一套完備的信息安全管理體系,IT審計師完全可以借鑒其體系與框架來設(shè)計中觀信息系統(tǒng)內(nèi)部控制評價流程,構(gòu)建適用于中觀信息系統(tǒng)的審計流程。BS7799標準的具體借鑒思路見表1,具體闡述如下。
(一) 一般控制的評價
1. 組織管理的內(nèi)部控制評價
在評價組織管理的內(nèi)控時,可借鑒BS7799標準A、B、C1、D1、D3、E、F、G、H、I、J。IT審計師可將BS7799標準體系作為信息系統(tǒng)組織管理內(nèi)部控制的衡量標準,并以此確認被審系統(tǒng)組織管理內(nèi)控制度的科學(xué)性與健全性。假若某中觀經(jīng)濟主體將信息系統(tǒng)的部分管理活動外包,則IT審計師可借鑒BS7799中的“B3.外包控制”標準,檢查外包合同的全面性與合理性。如果被審單位在外包合同中規(guī)定了信息系統(tǒng)的風(fēng)險、承包主客體各自的系統(tǒng)安全控制程序,并明確規(guī)定了“哪些措施必須到位,以保證涉及外包的所有各方關(guān)注各自的安全責(zé)任”,“哪些措施用以確定與檢測信息資產(chǎn)的完整性和保密性”,“采取哪些實物的和邏輯的控制以限制和限定授權(quán)用戶對系統(tǒng)敏感信息的訪問”以及“發(fā)生災(zāi)難時,采用怎樣的策略來維持服務(wù)可用性”,則IT審計師就可確認被審系統(tǒng)在外包方面的控制設(shè)計具有科學(xué)性與全面性,只需再對外包控制條款的執(zhí)行效果進行評價就可以得出對被審單位外包活動評價的整體結(jié)論。
2. 數(shù)據(jù)資源管理的內(nèi)部控制評價
在評價數(shù)據(jù)資源管理的內(nèi)控時,可以借鑒BS7799標準A、B、C、D、E1、E3、F、G、H、I、J。信息系統(tǒng)數(shù)據(jù)包括數(shù)據(jù)字典、權(quán)限設(shè)置、存儲分配、網(wǎng)絡(luò)地址、硬件配置與系統(tǒng)配置參數(shù),系統(tǒng)數(shù)據(jù)資源管理有數(shù)據(jù)存放、備份、恢復(fù)等,內(nèi)容相對復(fù)雜。IT審計師在評價數(shù)據(jù)資源管理的內(nèi)部控制時,也需要借鑒BS7799標準體系。例如,IT審計師可借鑒“F1.操作程序與職責(zé)”或“G6.應(yīng)用訪問控制”評價數(shù)據(jù)資源管理。F1與G6的闡述有“識別和記錄重要數(shù)據(jù)的更改”、“對數(shù)據(jù)更改的潛在影響作出評估”、“向所有相關(guān)人員傳達更改數(shù)據(jù)的細節(jié)”、“數(shù)據(jù)更改不成功的恢復(fù)措施”、“控制用戶的數(shù)據(jù)訪問權(quán),如對讀、寫、刪除等進行限制”、“在系統(tǒng)共享中,對敏感的數(shù)據(jù)實施高級別的保護”。IT審計師在審計時,有必要根據(jù)上述思路對系統(tǒng)數(shù)據(jù)管理的控制制度進行深層次評價。在當(dāng)前缺乏信息系統(tǒng)審計規(guī)范的情況下,以BS7799體系作為評價數(shù)據(jù)資源管理內(nèi)部控制的指南,不失為一種好的審計策略。
3. 環(huán)境安全管理的內(nèi)部控制評價
在評價環(huán)境安全管理的內(nèi)控時可以借鑒BS7799標準A、B、C1、D、E、F、G、H、I、J。信息系統(tǒng)的環(huán)境安全管理包括物理環(huán)境安全管理與軟件環(huán)境安全管理,系統(tǒng)環(huán)境是否安全決定著危險因素對脆弱性的攻擊程度,進而決定著信息系統(tǒng)風(fēng)險。IT審計師在審計系統(tǒng)環(huán)境的安全管理過程時,需要關(guān)注設(shè)備、網(wǎng)絡(luò)、軟件以及硬件等方面。在評價系統(tǒng)環(huán)境安全管理的內(nèi)部控制時,IT審計師有必要借助上述BS7799標準體系。例如,BS7799的“E1.安全區(qū)域”標準與“E2.設(shè)備安全”標準的解釋有“信息處理設(shè)施可能受到非法物理訪問、盜竊、泄密等威脅,通過建立安全區(qū)域、嚴格進入控制等控制措施對重要的系統(tǒng)設(shè)施進行全面保護”,“應(yīng)該對信息處理設(shè)施運作產(chǎn)生不良影響的環(huán)境條件加以監(jiān)控,如,濕度與溫度的影響”。類似上述的BS7799系列標準都為IT審計師如何確認環(huán)境安全管理的內(nèi)控提供了審計指導(dǎo),且其指導(dǎo)思路清晰、全面。IT審計師通過借鑒BS7799系列標準,可以深層次挖掘系統(tǒng)環(huán)境安全管理規(guī)章制度中存在的疏漏以及執(zhí)行中存在的問題,從而有效評判環(huán)境安全管理的控制風(fēng)險。
4. 系統(tǒng)運行管理的內(nèi)部控制評價
在評價系統(tǒng)運行管理的內(nèi)控時,可以借鑒BS7799標準A、B、C1、D、E1、E3、F、G、H、I、J。中觀經(jīng)濟主體對運行系統(tǒng)的管理相對復(fù)雜,涉及到系統(tǒng)組織、系統(tǒng)維護、系統(tǒng)完善等多個方面。由于系統(tǒng)運行中需要管理的環(huán)節(jié)繁多,而且目前也沒有規(guī)范與流程可以參考,因而,評價系統(tǒng)運行管理的內(nèi)控也有必要借鑒上述BS7799標準體系。例如,BS7799標準“D2.設(shè)備安全”與“H5.開發(fā)與支持過程中的安全”的闡述有“信息系統(tǒng)操作者需要接受安全意識培訓(xùn),熟悉與系統(tǒng)運行相關(guān)的安全職責(zé)、安全程序與故障制度”,“系統(tǒng)運行中,建立并實施更改控制程序”以及“對操作系統(tǒng)的更改進行技術(shù)評審”等方面。IT審計師采用詢問、觀察、檢查、穿行測試等方法評審系統(tǒng)運行管理的內(nèi)部控制,需要有上述明細的、清晰的信息安全管理規(guī)則予以指導(dǎo),這些標準可以指導(dǎo)IT審計師了解被審系統(tǒng)是否有健全的運行管理規(guī)范及是否得到有效運行,借此,IT審計師可以作出全面的內(nèi)控判斷,進而出具正確的審計結(jié)論。
(二) 應(yīng)用控制的評價
信息系統(tǒng)的應(yīng)用控制包括輸入控制、處理控制與輸出控制。在評價系統(tǒng)輸入控制、處理控制以及輸出控制三者的內(nèi)控時,同樣有必要借鑒BS7799標準,且BS7799標準中A、B、D、E1、E3、F1、F2、F3、F4、F5、F7、G1、G2、G4、G5、G6、G7、G8、H、I、J相對應(yīng)的信息安全管理目標與措施能夠在IT審計師對三者進行內(nèi)控評價時提供相對詳盡的審計框架。為確保信息系統(tǒng)輸入、處理與輸出的信息完整、正確,中觀經(jīng)濟主體需要加強對信息系統(tǒng)的應(yīng)用控制。IT審計師在中觀信息系統(tǒng)審計的過程中,需要做到對被審系統(tǒng)應(yīng)用控制進行正確評價。
在IT審計師對應(yīng)用控制的符合性測試過程中,上述BS7799標準體系可以對應(yīng)用控制評價進行全程指導(dǎo)。例如,BS7799標準中“H2.應(yīng)用系統(tǒng)的安全”提到“數(shù)據(jù)輸入的錯誤,可以通過雙重輸入或其他輸入檢查偵測,建立用于響應(yīng)輸入錯誤的程序”,“已正確輸入的數(shù)據(jù)可因處理錯誤或故意行為而被破壞,系統(tǒng)應(yīng)有確認檢查功能以探測數(shù)據(jù)的破壞”,“為確保所存儲的信息相對于各種情況的處理是正確而恰當(dāng)?shù)模瑏碜詰?yīng)用系統(tǒng)的輸出數(shù)據(jù)應(yīng)該得到確認”等控制策略,并提出了相對詳細的控制措施。應(yīng)用控制環(huán)節(jié)是信息處理的脆弱集結(jié)點,IT審計師在進行應(yīng)用控制的符合性測試環(huán)節(jié)時有必要考慮周全,詳盡規(guī)劃。IT審計師可以遵循H2全面實施針對應(yīng)用控制的審計,依照BS7799標準體系,檢查被審系統(tǒng)對于超范圍數(shù)值、數(shù)據(jù)區(qū)中的無效字符、丟失的數(shù)據(jù)、未經(jīng)認可的控制數(shù)據(jù)等系統(tǒng)輸入問題的控制措施以及應(yīng)急處理能力;檢查是否對系統(tǒng)產(chǎn)生的數(shù)據(jù)進行了確認,系統(tǒng)的批處理控制措施、平衡控制措施等,以及相關(guān)控制行為的執(zhí)行力度;檢查信息輸出是否實施了可信性檢查、一致性控制等措施,如果有相關(guān)措施,那么執(zhí)行力度如何。BS7799標準體系較為全面,對于IT審計師評價系統(tǒng)的應(yīng)用控制貢獻很大,如果IT審計師能夠創(chuàng)造性借鑒該標準,必可做好符合性測試,為實質(zhì)性測試夯實基礎(chǔ),也定會提高審計質(zhì)量。
五、 結(jié)束語
表1是筆者在分析某商業(yè)銀行信息系統(tǒng)與某區(qū)域物流信息系統(tǒng)的基礎(chǔ)上,對“BS7799標準如何應(yīng)用于信息系統(tǒng)審計”所進行的設(shè)計,當(dāng)針對其他行業(yè)時,或許需要對表1進行適當(dāng)調(diào)整。不同行業(yè)、不同特性的中觀經(jīng)濟主體在信息系統(tǒng)審計中運用BS7799標準時側(cè)重點會有所不同。本文以分析中觀信息系統(tǒng)風(fēng)險為著手點,沿用BS7799標準對中觀信息系統(tǒng)審計進行研究,旨在拋磚引玉。
參考文獻:
[1]王會金,劉國城.中觀經(jīng)濟主體信息系統(tǒng)審計的理論分析及實施路徑探索[J].審計與經(jīng)濟研究,2009(5):2731.
[2]BSI.ISO/IEC17799-2000 Information technologycode of practice for information security management[S]. London:British Standards Institation,2000:179202.
[3]BSI.BS779922002 information security managementspecification for information security management systems[S]. London: British Standards Institation,2002:267280
[4]孫強.信息系統(tǒng)審計[M].北京:機械工業(yè)出版社,2003.
[5]劉國城,王會金.中觀信息系統(tǒng)審計風(fēng)險的理論探索與體系構(gòu)架[J].審計研究,2011(2):2128.
[6]王會金.中觀信息系統(tǒng)審計風(fēng)險控制體系研究――以COBIT框架與數(shù)據(jù)挖掘技術(shù)相結(jié)合為視角[J].審計與經(jīng)濟研究,2012(1):1623.
[7]科飛管理咨詢公司.信息安全管理概論-BS7799理解與實施[M].北京:機械工業(yè)出版社, 2002.
BS7799 Criterion and Its Application in Mesoinformation Systems Audit
LIU Guocheng
篇8
信息安全等級保護工作是解決信息安全問題的基本方法,而信息安全不僅靠物理安全、網(wǎng)絡(luò)安全、主機安全等具體技術(shù)上的實現(xiàn),還需要建立健全的信息安全機構(gòu)管理制度,貫徹信息安全工作和維持信息安全的建設(shè)成果,在技術(shù)和管理兩個維度下保障信息安全保護體系在持續(xù)的運營工作中發(fā)揮應(yīng)有的信息安全保護作用[1]。
2信息安全機構(gòu)管理思路
2.1加強安全管理建設(shè)是實現(xiàn)等級保護組織機構(gòu)管理的基礎(chǔ) 醫(yī)院信息安全管理需要由醫(yī)院信息化領(lǐng)導(dǎo)機構(gòu)協(xié)調(diào)進行。為了完成和強化信息安全的管理,需要建立相應(yīng)的信息安全管理機構(gòu),這是醫(yī)院信息安全等級保護實施的必要條件[2]。同時,安全組織管理建設(shè)也是重要組成內(nèi)容,包括健全組織體系,明確負責(zé)安全管理的主要領(lǐng)導(dǎo)、主管部門、技術(shù)支持部門和宣傳部門,制定系統(tǒng)安全保障方案,實施安全宣傳教育、安全監(jiān)管和安全服務(wù)等。
2.2相關(guān)管理辦法制定是規(guī)范等級保護組織機構(gòu)管理的根本保證 醫(yī)院信息系統(tǒng)存在著來自社會環(huán)境、技術(shù)環(huán)境和物理自然環(huán)境的安全風(fēng)險,其安全威脅無時無處不在。對于醫(yī)院信息系統(tǒng)的安全問題,不能企圖單憑利用一些集成了信息安全技術(shù)的安全產(chǎn)品來解決,而必須配合等級保護的信息系統(tǒng)安全保障體系,制定相關(guān)管理辦法,全方位綜合解決系統(tǒng)安全問題。
2.3定期審查監(jiān)控是實施等級保護組織機構(gòu)管理的具體表現(xiàn) 根據(jù)醫(yī)院對于信息安全等級保護的要求,安全等級保護除重視技術(shù)解決方案外,更應(yīng)明確定期審查、檢查和監(jiān)控的必要性。包括:指定專員定期對系統(tǒng)進行安全巡查,檢查的內(nèi)容包含例如系統(tǒng)運行情況、系統(tǒng)漏洞確認、系統(tǒng)數(shù)據(jù)備份、現(xiàn)有安全技術(shù)措施有效性、安全配置與安全策略一致性、安全管理制度的執(zhí)行情況等等。
3信息安全機構(gòu)管理措施
醫(yī)院信息安全管理體系依賴于信息安全等級保護管理建設(shè)的機構(gòu)管理。根據(jù)醫(yī)院當(dāng)前信息安全管理需要和機構(gòu)管理特點,和信息安全等級保護管理所要求的系統(tǒng)建設(shè)管理、系統(tǒng)運維管理、安全管理機構(gòu)、安全管理制度和人員安全管理,筆者從崗位設(shè)置、人員配備、授權(quán)、審批、審查和溝通交流等方面分析醫(yī)院信息管理機構(gòu)建設(shè),切實做到提升醫(yī)院信息等級保護管理的能力。
3.1崗位設(shè)置 信息中心內(nèi)部根據(jù)崗位劃分不同,設(shè)置多個安全管理崗位包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、安全管理員、安全審計員崗位,各崗位人員應(yīng)按照自己的崗位職責(zé),落實本崗位的信息安全工作[3]。
以我院為例,我院信息安全管理工作由院領(lǐng)導(dǎo)負責(zé)指導(dǎo)和管理,同時成立了醫(yī)院級別的信息安全工作領(lǐng)導(dǎo)小組,由黨委書記擔(dān)任領(lǐng)導(dǎo)小組組長,由信息中心負責(zé)管理工作的具體落實,制定各信息系統(tǒng)相關(guān)崗位的崗位職責(zé)和工作標準并形成文件。
3.2人員配備 信息中心采用安全責(zé)任層層落實制,中心主任對醫(yī)院所有信息化相關(guān)系統(tǒng)負責(zé),網(wǎng)絡(luò)工程師對醫(yī)院所有網(wǎng)絡(luò)建設(shè)及維護負責(zé),系統(tǒng)工程師對醫(yī)院服務(wù)器、數(shù)據(jù)庫、存儲和信息系統(tǒng)負責(zé),信息安全工程師對醫(yī)院網(wǎng)絡(luò)安全、信息安全、機房物理安全負責(zé),安全審計工程師對所有人的信息安全工作進行監(jiān)督和審計,保證信息安全工作層層做實。
3.3授權(quán)和審批 醫(yī)院信息中心對于外部廠商人員的相關(guān)操作均需進行審批流程,通過軟件記錄其所有操作行為,并保存進檔。對于中心內(nèi)部工作人員執(zhí)行嚴格的離崗流程,由所在部門主管負責(zé)回收本部門負責(zé)的相關(guān)權(quán)限,所有權(quán)限回收后方可辦理正常的離職手續(xù)。
信息中心對于客戶端操作系統(tǒng)權(quán)限、應(yīng)用系統(tǒng)操作權(quán)限、數(shù)據(jù)庫操作權(quán)限進行分級控制。內(nèi)網(wǎng)客戶端硬盤分區(qū)全部使用NTFS,管理員密碼由信息中心網(wǎng)絡(luò)組每月定時更換;對所有應(yīng)用系統(tǒng)功能進行編號,對功能進行模塊化管理,并對模塊進行分級控制;同時,設(shè)置數(shù)據(jù)庫用戶,將不同應(yīng)用的數(shù)據(jù)分別管理,賦予創(chuàng)建、修改、刪除表及表內(nèi)數(shù)據(jù)權(quán)限。
3.4審查和檢查 醫(yī)院信息中心日常檢查由信息安全管理員進行,自檢內(nèi)容包括終端安全自檢和軟件管理自檢,終端安全自檢包括檢查是否每臺計算機安裝防病毒軟件,病毒庫是否為最新版本,終端操作系統(tǒng)是否安裝最新補丁,是否設(shè)置6位以上口令;軟件管理自檢包括檢查軟件是否為正版軟件,軟件管理的各項記錄是否完整等。
構(gòu)建信息安全綜合防護體系保證醫(yī)院各系統(tǒng)能夠長期穩(wěn)定安全運行,滿足了醫(yī)院不斷擴展的業(yè)務(wù)應(yīng)用和管理需要。本文對信息安全機構(gòu)管理的目的、思路和措施進行了詳細的分析闡述,對相關(guān)工作人員和機構(gòu)具有一定的啟示意義。同時,通過梳理分析業(yè)務(wù)特點和管理流程,依據(jù)等級保護相關(guān)政策和標準,明確安全管理需求,筆者所在醫(yī)院信息管理中心整理并制定出符合醫(yī)院信息系統(tǒng)實際情況的一套信息安全管理體系文件,并在2012年公安局等級保護測評中被評為三級。
參考文獻:
篇9
雖然世界各國早已開始實踐信息安全的相關(guān)活動,然而一直到上世紀四十年代學(xué)術(shù)界才開始出現(xiàn)“通信保密”的概念。上世紀五十年代,“信息安全”等用詞才開始進入相關(guān)的科技文獻。國際信息系統(tǒng)安全認證組織(InternationalInformationSystemsSecurityConsor-tium)將信息安全劃分為十大領(lǐng)域,包括物理安全、商務(wù)連續(xù)和災(zāi)害重建計劃、安全結(jié)構(gòu)和模式、應(yīng)用和系統(tǒng)開發(fā)、通信和網(wǎng)絡(luò)安全、訪問控制領(lǐng)域、密碼學(xué)領(lǐng)域、安全管理實踐、操作安全、法律偵察和道德規(guī)劃。由此可知,信息安全所包含的領(lǐng)域十分廣泛。“通信與網(wǎng)絡(luò)安全”的內(nèi)容開始逐漸與各類物理安全的內(nèi)容一樣得到同等重視。21世紀以來,“信息安全”出現(xiàn)的頻率不斷增加,使用的范圍和領(lǐng)域也不斷擴大,并且進入了各個國家、地區(qū)的各類組織機構(gòu)的政策法規(guī)之中,受到人們越來越多的關(guān)注與重視。本文中所涉及的信息安全主要限制于高校科研項目管理過程中的“信息空間、信息載體和信息資源不受來自內(nèi)外各種形式的危險、威脅、侵害和誤導(dǎo)。”高校科研管理系統(tǒng)包括其硬件、軟件、數(shù)據(jù)。保障高校科研信息安全就是保障其軟硬件不受非法侵害、破壞,其數(shù)據(jù)不受非法更改、泄露,系統(tǒng)及其服務(wù)維持正常運行不中斷。
三、高校科研項目管理的信息安全需求
高校科研項目管理信息安全問題較為突出。首先,這是由高校科研活動自身特點所決定的。高校作為我國科研力量最為集中的單位,同時也是集科研、教學(xué)為一體的單位,其公開性與保密性并存。第一,辦學(xué)的公開性導(dǎo)致人員的流動性,交流與引進人才的同時也造成信息的流動;此外,學(xué)生也具有較大的流動性,包括學(xué)生參與不同教師的科研項目,出國交流學(xué)習(xí)、畢業(yè)、就業(yè)等,增加保密信息泄露的風(fēng)險。第二,科研項目本身具有公開性,科研項目產(chǎn)生成果時需要進行及時的應(yīng)用和轉(zhuǎn)化。由此可知,科研項目從產(chǎn)生到應(yīng)用的過程就是一個信息傳遞、交流與共享的過程。其次,從高校科研項目管理過程角度出發(fā),主要分為科研項目立項管理、項目實施管理、項目驗收管理三個階段。其中科研項目立項管理又包括項目建議書、項目可行性論證、簽訂項目合同等內(nèi)容;項目實施管理包括科研項目計劃、項目跟蹤管理、項目中期評估等;項目驗收管理包括合同考核指標、項目組織與管理、項目績效管理等。科研項目管理的這些環(huán)節(jié)在高校中大部分已實現(xiàn)系統(tǒng)化、信息化、網(wǎng)絡(luò)化管理。由此可知,高校的科研管理部門在進行科研項目管理的過程中有以下三個方面的安全需求。
第一,科研項目保密性的安全需求。
由于高校人員的流動性、頻繁的交流活動以及科研活動本身具有一定的公開性,對項目的保密工作提出了更高的要求。一是出于對涉及國家安全與經(jīng)濟安全的科研項目的保護;二是出于對知識產(chǎn)權(quán)的保護,因此如何加強項目保密性與保密范圍的管理至關(guān)重要。
第二,管理人員的信息安全需求。
據(jù)統(tǒng)計,在所有計算機安全事件中,人為因素造成的約占52%,而組織內(nèi)部人員作案占10%,由外部不法人員的攻擊造成的安全事件僅有3%左右。可見,項目管理人員自身的安全意識淡薄,安全素質(zhì)較低,有可能導(dǎo)致科研項目管理過程出現(xiàn)安全事故,例如保密信息外泄,訪問不受控制,系統(tǒng)崩潰后無法修復(fù),甚至導(dǎo)致科研活動停滯。
第三,新技術(shù)的發(fā)展對信息安全提出了更高要求。
目前信息技術(shù)發(fā)展突飛猛進,已進入云計算、大數(shù)據(jù)、移動互聯(lián)等廣泛應(yīng)用的新階段。滯后的信息技術(shù),脆弱的信息網(wǎng)絡(luò)注定無法在利用信息技術(shù)破壞基礎(chǔ)網(wǎng)絡(luò),攻擊網(wǎng)絡(luò)節(jié)點等不法行為日益猖獗的今天得以生存。然而,在及時應(yīng)用如超級計算機及其網(wǎng)格技術(shù)、云服務(wù)等新技術(shù)的同時,科研項目管理同樣會面臨一系列新的問題,例如使用第三方云服務(wù)商所提供的產(chǎn)品,進行海量數(shù)據(jù)獲取、分析、處理的過程中所存在的安全隱患等。
四、高校科研項目管理信息安全實施策略
通過分析高校科研項目管理的特點及其對信息安全方面的需求可知,高校科研項目信息安全管理是一項復(fù)雜的系統(tǒng)工程。本文從管理、人員、技術(shù)、審計四個角度為保障高校科研項目管理的信息安全提供策略。
1.管理。
基于信息安全的科研項目管理工作,也是高校信息化建設(shè)的一部分。為打破“信息孤島”的局面,應(yīng)將科研項目信息安全管理納入到高校信息化的整體規(guī)劃中去。從體制機制的角度出發(fā),應(yīng)重點關(guān)注信息安全管理制度的建立和健全以及信息安全管理組織或人員的設(shè)立。高校科研項目的信息安全管理制度應(yīng)通過相應(yīng)規(guī)章制度的制定,實現(xiàn)項目過程管理、人員管理、組織管理、風(fēng)險管理等。同時,高校科研管理部門還應(yīng)設(shè)立專門的信息安全管理組織或人員,負責(zé)對信息進行及時、全面、準確的甄別、篩選、收集、掌握、保管、分析、運用。
2.人員。
科研項目信心安全管理活動中存在著一般行政管理人員以及專業(yè)信息技術(shù)人員。提升這兩類人員的信息安全素養(yǎng)的方式方法既有相同點,也有不同點。相同點在于都需要對其進行充分的信息安全知識教育與培訓(xùn),可采用多種形式的輿論宣傳,崗前培訓(xùn)與在職培訓(xùn)、商業(yè)培訓(xùn)與公益培訓(xùn)相結(jié)合的方式。同時,可將員工的信息安全教育培訓(xùn)納入到個人績效考核體系中去。不同點在于對一般行政管理人員應(yīng)加強其信息技術(shù)基本知識、實踐技能方面的教育與培訓(xùn),對專業(yè)信息技術(shù)人員應(yīng)加強法律法規(guī),規(guī)章制度方面的知識普及。
3.技術(shù)。
如何掌握和運用較為先進和成熟的計算機信息技術(shù),是保障科研項目管理過程中信息安全的重要支撐和基礎(chǔ)保障條件。目前在較為廣泛使用的項目管理信息技術(shù)包括科研管理系統(tǒng)(MIS)、決策支持系統(tǒng)(DSS)、辦公自動化(OAS/OA);信息安全管理技術(shù)包括防火墻技術(shù)、VPN技術(shù)、入侵檢測系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)、安全服務(wù)器等。選擇適合于高校科研管理部門的信息安全技術(shù),需要綜合評估成本與安全風(fēng)險,同時需要保證優(yōu)先和重點,優(yōu)化信息安全資源配置。此外,還應(yīng)對已有的信息安全軟、硬件不斷進行優(yōu)化、升級,引進和應(yīng)用國際先進技術(shù),擁有和掌握自己的核心技術(shù)。
4.審計。
信息安全審計是對高校科研項目管理過程中的風(fēng)險進行評估以及提出應(yīng)對措施的系統(tǒng)過程。在選擇了合適的信息安全技術(shù),建立了信息安全保障體系之后,這并不意味著信息安全管理工作已經(jīng)結(jié)束。它是一個需要不斷完善的長期過程。信息安全審計包括對人員身份與訪問審計、網(wǎng)絡(luò)訪問控制審計、入侵防御審計、漏洞管理審計。首先,應(yīng)對訪問信息系統(tǒng)的人員身份進行核準,并依據(jù)信息保密層級對準入人員進行分級;其次,應(yīng)使用可以對訪問者以及系統(tǒng)安全性進行檢查的網(wǎng)絡(luò)訪問控制審計;最后,應(yīng)對網(wǎng)絡(luò)入侵及系統(tǒng)防御情況進行審計監(jiān)控,以便于發(fā)現(xiàn)系統(tǒng)、管理的漏洞,并對風(fēng)險進行分析和處理。
篇10
審計的基礎(chǔ)工作是內(nèi)部審計,內(nèi)審是審計監(jiān)督體系中不可或缺的重要組成部分,是全面經(jīng)濟管理必不可少的手段,是加強任何機構(gòu)內(nèi)部管理的必要,推動經(jīng)濟管理向科學(xué)化方向發(fā)展的重要環(huán)節(jié)也是審計。因此說審計部門是其他監(jiān)督部門不能代替的,促進黨風(fēng)廉政建設(shè)、加強對黨政領(lǐng)導(dǎo)干部及管理人員的監(jiān)督都可以通過審計來完成。審計應(yīng)用與高新技術(shù)機構(gòu)中,在防范風(fēng)險中發(fā)揮著重要作用,也有助于領(lǐng)導(dǎo)層做出正確決策。
一、審計工作的現(xiàn)狀及存在的問題
隨著我國經(jīng)濟迅猛發(fā)展,審計監(jiān)督力度不斷增強,審計范圍也不斷擴大。當(dāng)前,審計方式已由財政財務(wù)審計向效益審計發(fā)展,由賬項基礎(chǔ)審計向制度基礎(chǔ)審計、風(fēng)險基礎(chǔ)審計發(fā)展,由事后審計向事中、事前審計發(fā)展。審計管理上建立審計質(zhì)量控制體系,要求審計機關(guān)把審計管理工作前移,把質(zhì)量控制體系貫穿與審計工作中。在此趨勢下,傳統(tǒng)的審計方法暴露出其效率低、審計范圍小等劣勢,使得完成審計任務(wù),達到審計目標越發(fā)缺乏及時性。
(一)內(nèi)部審計性質(zhì)認定較為模糊。內(nèi)部審計是市場經(jīng)濟條件下,基于加強經(jīng)營管理的內(nèi)在需要,也是內(nèi)部審計賴以存在的客觀基礎(chǔ)。但是,現(xiàn)代內(nèi)部審計的產(chǎn)生卻是一個行政命令產(chǎn)物,強調(diào)外向。這種審計模式使人們對內(nèi)部審計在性質(zhì)認定上產(chǎn)生模糊,阻礙了內(nèi)部審計的發(fā)展。內(nèi)部審計很難融入經(jīng)營管理中,審計工作很難正常開展,很難履行監(jiān)督評價職能和開展保證咨詢活動,因此就不能充分發(fā)揮其應(yīng)有的內(nèi)向的作用。
(二)內(nèi)部審計工作范圍過于狹窄。內(nèi)部審計的目的在于為組織增加價值并提高組織的運作效率,其職能是監(jiān)督和服務(wù)。但是,我國內(nèi)部審計工作的重心局限在財務(wù)收支的真實性及合規(guī)性審計。長久以來內(nèi)部審計突出了監(jiān)督職能,而忽視了服務(wù)職能。內(nèi)部審計認識水平、思想觀念的束縛以及管理體制等諸多因素,影響和阻礙著內(nèi)審作用的有效發(fā)揮。原因有會計人員知識水平、業(yè)務(wù)素質(zhì)不高,也有不重視法律、法規(guī)的因素,還有監(jiān)管不力、查處不嚴的原因。目前內(nèi)部審計尚處在查錯階段,停留在調(diào)賬、糾正錯誤上,還不能多角度、深層次分析問題,沒有較國際先進的審計理念,我國內(nèi)部審計的作用尚待開發(fā)。審計人員的計算機知識匱乏,不適應(yīng)電算化、信息化的迅速發(fā)展。目前多數(shù)審計人員硬件知識掌握不熟練,軟件知識了解也不足,因此不能有效地評估信息系統(tǒng)的安全性、效益性。由于計算機審計軟件開發(fā)標準不同,功能也不完整,因此全面推廣計算機輔助審計就有一定難度,導(dǎo)致審計人員的知識和審計手段滯后于信息化的發(fā)展。
二、信息化審計體系的健全
當(dāng)前國家審計信息化發(fā)展的趨勢是建立審計信息資源的標準化、共享化、公開化,逐步達到向現(xiàn)代審計方式的轉(zhuǎn)變。這一趨勢是隨著當(dāng)前科學(xué)發(fā)展、和諧社會的推進,國家確立的公共財政建設(shè)、公共服務(wù)的實施、公共產(chǎn)品的提供應(yīng)運而生的,三個“公共”的主旨是:國家財政資金的使用更注重民生;使用重點更注重服務(wù);使用效益更注重民意。
信息安全審計是任何機構(gòu)內(nèi)控、信息系統(tǒng)治理、安全風(fēng)險控制等不可或缺的關(guān)鍵手段。收集并評估證據(jù)以決定一個計算機系統(tǒng)是否有效地做到保護資產(chǎn)、維護數(shù)據(jù)完整、完成目標,同時能更經(jīng)濟的使用資源。信息安全審計與信息安全管理密切相關(guān),信息安全審計的主要依據(jù)是出于不同的角度提出的控制體系的信息安全管理相關(guān)的標準。這些控制體系下的信息化審計可以有效地控制信息安全,從而達到安全審計的目的,提高信息系統(tǒng)的安全性。由此,國際組織也制定了相關(guān)文件規(guī)范填補信息系統(tǒng)審計方面的某些空白。例如《信息安全管理業(yè)務(wù)規(guī)范》通過了國際標準化組織ISO的認可,正式成為國際標準。我國法律也針對信息安全審計制定出了《中華人民共和國審計法》、《國務(wù)院辦公廳關(guān)利用計算機信息系統(tǒng)開展審計工作有關(guān)的通知》等文件,基本規(guī)范了內(nèi)部審計機制,健全了內(nèi)部審計機構(gòu);強調(diào)機構(gòu)應(yīng)加強內(nèi)審工作,機構(gòu)內(nèi)部要形成有權(quán)就有責(zé)、用權(quán)受監(jiān)督的最佳氛圍;審計委員會直接對領(lǐng)導(dǎo)班子負責(zé),其成員需具有相應(yīng)的獨立性,委員會成員具良好的職業(yè)操守和能力,內(nèi)審人員應(yīng)當(dāng)具備內(nèi)審人員從業(yè)資格,其工作范圍不應(yīng)受到人為限制。內(nèi)部審計機構(gòu)對審計過程中發(fā)現(xiàn)的重大問題,視具體情況,可以直接向?qū)徲嬑瘑T會或者領(lǐng)導(dǎo)層報告。 轉(zhuǎn)貼于 三、主機系統(tǒng)安全審計
信息技術(shù)審計,或信息系統(tǒng)審計,是一個信息技術(shù)基礎(chǔ)設(shè)施控制范圍內(nèi)的檢查。信息系統(tǒng)審計是一個通過收集和評價審計證據(jù),對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面做出判斷的過程。
以技術(shù)劃分,信息化安全審計主要分為主機審計、網(wǎng)絡(luò)審計、應(yīng)用審計、數(shù)據(jù)庫審計,綜合審計。簡單的說獲取、記錄被審計主機的狀態(tài)信息和敏感操作就是主機審計,主機審計可以從已有的系統(tǒng)審計記錄中提取相關(guān)信息,并以審計規(guī)則為標準來分析判斷被審計主機是否存在違規(guī)行為。總之,為了在最大限度保障安全的基礎(chǔ)上找到最佳途徑使得業(yè)務(wù)正常工作的一切行為及手段,而對計算機信息系統(tǒng)的薄弱環(huán)節(jié)進行檢測、評估及分析,都可稱作安全審計。
主機安全審計系統(tǒng)中事件產(chǎn)生器、分析器和響應(yīng)單元已經(jīng)分別以智能審計主機、系統(tǒng)中心、管理與報警處置控制臺來替代。實現(xiàn)主機安全系統(tǒng)的審計包括系統(tǒng)安全審計、主機應(yīng)用安全審計及用戶行為審計。智能審計替代主機安裝在網(wǎng)絡(luò)計算機用戶上,并按照設(shè)計思路監(jiān)視用戶操作行為,同時智能分析事件安全。從面向防護的對象可將主機安全審計系統(tǒng)分為系統(tǒng)安全審計、主機應(yīng)用安全審計、用戶行為審計、移動數(shù)據(jù)防護審計等方面。
四、待解決的若干問題
計算機與信息系統(tǒng)廣泛使用,如何加強對終端用戶計算機的安全管理成為一個急需解決的問題。這就需要建立一個信息安全體系,也就是建立安全策略體系、安全管理體系和安全技術(shù)體系。
保護網(wǎng)絡(luò)設(shè)備、設(shè)施、介質(zhì),對操作系統(tǒng)、數(shù)據(jù)庫及服務(wù)系統(tǒng)進行漏洞修補和安全加固,對服務(wù)器建立嚴格審核。在安全管理上完善人員管理、資產(chǎn)管理、站點維護管理、災(zāi)難管理、應(yīng)急響應(yīng)、安全服務(wù)、人才管理,形成一套比較完備的信息系統(tǒng)安全管理保障體系。
防火墻是保證網(wǎng)絡(luò)安全的重要屏障,也是降低網(wǎng)絡(luò)安全風(fēng)險的重要因素。VPN可以通過一個公用網(wǎng)絡(luò)建立一個臨時的、安壘的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。借助專業(yè)的防DDos系統(tǒng),可以有效的阻止惡意攻擊。信息系統(tǒng)的安全需求是全方位的、系統(tǒng)的、整體的,需要從技術(shù)、管理等方面進行全面的安全設(shè)計和建設(shè),有效提高信息系統(tǒng)的防護、檢側(cè)、響應(yīng)、恢復(fù)能力,以抵御不斷出現(xiàn)的安全威脅與風(fēng)險,保證系統(tǒng)長期穩(wěn)定可靠的運行。嚴格的安全管理制度,明確的安全職責(zé)劃分,合理的人員角色定義,都可以在很大程度上減少網(wǎng)絡(luò)的安全隱患。
從戰(zhàn)略高度充分認識信息安全的重要性和緊迫性。健全安全管理組織體系,明確安全管理的相關(guān)組織、機構(gòu)和職責(zé),建立集中統(tǒng)一、分工協(xié)作、各司其職的安全管理責(zé)任機制。為了確保突發(fā)重大安全事件時,能得到及時的響應(yīng)和支援,信息系統(tǒng)必須建立和逐步完善應(yīng)急響應(yīng)支援體系,確保整個信息系統(tǒng)的安全穩(wěn)定運行。
參考文獻:
篇11
在實踐中,信息安全不但與通常的監(jiān)理對象一樣具有規(guī)劃、實施、運營等等清晰的工作周期,而且由于信息安全工作在變更、響應(yīng)、教育方面的高要求,使得信息安全監(jiān)理在開展過程中需要關(guān)注更多的問題。處理好這些問題,信息安全才能真正保障。
認識篇:安全監(jiān)理 并不遙遠
基于多年對信息技術(shù)產(chǎn)業(yè)的關(guān)心和促進,我國已經(jīng)形成一系列的法規(guī)、條例和標準用于信息領(lǐng)域相關(guān)工作的規(guī)范和管理。針對信息安全領(lǐng)域,于1994年2月18日的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,是我國信息系統(tǒng)安全體系的核心法律依據(jù);而作為GB17859-1999國家標準的《計算機信息系統(tǒng)安全等級保護劃分準則》則為我國的信息安全工作提供了標準上的支持。特別是2006年上旬公安部的《信息安全等級保護管理辦法(試行)》,也稱7號文件,其中針對不同等級的信息系統(tǒng)明確的在監(jiān)管和監(jiān)管資質(zhì)方面進行了規(guī)定。這些法規(guī)標準的出臺和實施為信息安全的監(jiān)理工作提供了有效的生長環(huán)境,同時也預(yù)示著信息安全監(jiān)理的大幕正在拉開,通過第三方的監(jiān)理手段提高信息安全工作有效性正成為產(chǎn)業(yè)中一股新的力量。
重視實施
在信息安全工作體系當(dāng)中,監(jiān)理可以發(fā)揮極為重要的作用,有效的監(jiān)理工作可以節(jié)約資源并保障信息安全工作的順利開展。
在實施信息安全的過程中,監(jiān)理機制可以保障安全特性與系統(tǒng)核心的工作目標適配,避免安全目標與系統(tǒng)目標之間發(fā)生沖突。即使對于信息安全本身,其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突,例如,在很多時候為了提高保密性的要求而可能會損害到信息的可用性,這些問題的權(quán)衡和建議體現(xiàn)了監(jiān)理工作在整個系統(tǒng)體系設(shè)計層次的作用。
基于資源有限這一基本原理,在實施信息安全工作的過程中一個非常重要的問題在于使用合適的資源對不同類型的信息資產(chǎn)進行保護。很多信息安全工程或是沒有分清保護的重點,或是對某些信息資產(chǎn)投放了過度的資源,這對于系統(tǒng)的安全乃至系統(tǒng)本身的運轉(zhuǎn)都會造成不良影響。監(jiān)理機制能夠在資源調(diào)配上起到監(jiān)管作用,從設(shè)計階段就發(fā)現(xiàn)信息安全系統(tǒng)中潛藏的缺陷。
作為監(jiān)理機制最重要的作用之一,監(jiān)督信息安全的實施過程是信息安全監(jiān)管的重中之重。即使擁有完善的信息安全系統(tǒng)設(shè)計也并不能保證信息安全工作的成功,保證實施方按照設(shè)計方案正確的進行實施與對設(shè)計方案的分析一樣重要。在很多信息安全工程中存在著執(zhí)行不利的問題,監(jiān)理工作非常適合在執(zhí)行過程中的發(fā)揮保障作用,在這類相對確定且可變性較低的層面可以充分發(fā)揮監(jiān)理的標準化能力及管理能力。
從規(guī)范到管理
眾所周知,在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據(jù)更重要的地位。從信息安全制度規(guī)范的實施到安全意識技能培訓(xùn),往往受制于企業(yè)內(nèi)部的阻力。通過監(jiān)理的形式促進這些工作的開展,除了可以有效的提高信息安全工作的質(zhì)量,同時還可以推進整套工作的進展。
一個容易被忽視的信息安全問題是信息安全體系建設(shè)完成之后的管理,在一個信息安全系統(tǒng)建設(shè)完成之后并不代表著工作的結(jié)束,運營過程中的監(jiān)管是不容忽視的。一個應(yīng)用系統(tǒng)層面的變更帶來的往往是生產(chǎn)力的促進和提高,而這種變更所帶來的安全層面的變更往往會對信息安全體系造成巨大的破壞。所以在信息安全體系建設(shè)之后的生命周期當(dāng)中,監(jiān)理機制仍能夠起到重要作用,保證信息安全工作的延續(xù)性。
對比篇:撥開安全監(jiān)理與審計的迷霧
審計通常是指審計方在接受委托后,通過收集各種信息和證據(jù)從而對審計目標是否達到了預(yù)先設(shè)定的目標進行判斷和指導(dǎo),延伸到信息安全領(lǐng)域就是通過對計算機系統(tǒng)的數(shù)據(jù)進行記錄和檢驗從而了解系統(tǒng)是否達到了要求的安全指標。而依照《信息系統(tǒng)工程監(jiān)理暫行辦法》,信息系統(tǒng)監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的監(jiān)理單位受托依據(jù)國家有關(guān)法規(guī)和標準對信息系統(tǒng)工程項目實施監(jiān)督及管理。從概念上分析,這兩種服務(wù)的目的都在于降低信息系統(tǒng)工程實施過程中的風(fēng)險,從基本出發(fā)點上是完全相同的。
走出概念的誤區(qū)
在實際的工作范疇以及作用等方面,監(jiān)理和審計并不完全相同。
就一個信息安全體系來說,本身就需要記錄充分的信息予以存檔留待需要時分析,這也是審計機制中最核心的鑒證功能。但是一個成熟的信息審計過程并不僅僅如此,更重要的是通過第三方的力量對目標信息的真實性、完整性、可靠性進行驗證,從而為決策行為提供充分有效的證明。從不同的視角對一個安全系統(tǒng)進行分析,可以更加真實的還原信息系統(tǒng)的安全現(xiàn)狀,同時可以利用審計機構(gòu)所具備的知識和經(jīng)驗,完善系統(tǒng)設(shè)計,以提高實施成功率。
從這一點來看,信息安全審計服務(wù)與信息安全監(jiān)理服務(wù)的作用有一定的交叉性。而在此基礎(chǔ)之上,信息安全監(jiān)理還具有一些信息安全審計不具備的職能。首先信息安全監(jiān)理需要履行監(jiān)管的職責(zé),也即不僅僅象信息安全審計過程一樣要進行咨詢、分析、建議,還要對整個安全體系的實施乃至運行采取強于審計工作的控制,以第三方的力量穩(wěn)定項目發(fā)展的軌道。另外,信息安全監(jiān)理還需要在項目開展過程中協(xié)調(diào)客戶與實施方等多方之間的關(guān)系,保證參與方確實的履行合同條款,去除隱藏的欺詐行為。也就是說信息安全監(jiān)理更側(cè)重于項目成功的保障,而信息安全審計更側(cè)重于信息的可信性。
值得一提的是,在針對項目范疇的信息審計在關(guān)注信息可信的基礎(chǔ)上也包含了對信息系統(tǒng)有效性的審計,集中體現(xiàn)于對項目完成后系統(tǒng)運營狀態(tài)的審計,在對于這一生命周期的關(guān)注上信息安全審計要強于信息安全監(jiān)理。
正確實踐
在實際的信息安全項目當(dāng)中,信息安全監(jiān)理與信息安全審計也有很多區(qū)別,集中體現(xiàn)于工作主體上的差異。
對于監(jiān)理來說,必須由第三方完成相關(guān)工作,否則就失去了公正性和監(jiān)管力。而對于審計來說,除了聘用外部機構(gòu)對系統(tǒng)的安全性開展審計工作之外,很多情況下審計工作也可以由組織內(nèi)部的信息安全團隊完成。在通常情況下,基本的信息安全審計都是由內(nèi)部人員定期執(zhí)行并向管理層進行反饋,利用外部力量進行審計的情況相對較少,這也與國內(nèi)用戶對第三方審計的認知不夠有關(guān)。
另外,審計和監(jiān)理服務(wù)所面向的服務(wù)對象也有一定的差異。信息審計所具有的公證性目標,在執(zhí)行信息安全審計時往往服務(wù)于類似管理層這樣發(fā)起審計要求的局部對象。而信息安全監(jiān)理則往往服務(wù)于用戶和實施方兩方,即使在特定情況下監(jiān)理機制作用于組織內(nèi)部的不同部門和層級,也具有作用多個對象的特征。
總體來看,在作用方面信息安全監(jiān)理與信息安全審計處于相互融合、互相支撐的關(guān)系。在一個成功的信息安全項目當(dāng)中,兩者的作用都不容忽視,應(yīng)該根據(jù)具體需要進行具體選擇,并開展符合實際應(yīng)用環(huán)境的具體應(yīng)用。
實踐篇:安全規(guī)劃 重在督導(dǎo)
缺乏規(guī)劃性是很多信息安全項目失敗的主因,所以監(jiān)理機構(gòu)有責(zé)任向用戶提出實施規(guī)劃方面的建議。建議的方面有很多,而主要的原則面則基于成熟的信息安全項目操作經(jīng)驗。
安全原則不容忽視
首先我們要在規(guī)劃制訂過程中樹立以人為本的意識,對計算機系統(tǒng)進行安全管理要充分結(jié)合對人的管理。授權(quán)最小化是安全管理的核心原則之一,保障權(quán)限授予的合理并減少冗余是任何安全體系成功的基礎(chǔ)。
另外,在安全規(guī)劃中不能忽視卻常常被忽視的一個問題就是物理安全,協(xié)助用戶分析如何管理各種存儲介質(zhì),完善用戶所在建筑物的安全管理,都是在監(jiān)理工作過程中需要注意的問題。
對于安全事件的響應(yīng)也是監(jiān)理應(yīng)該重點關(guān)心的方向,很多用戶的信息安全體系具有完善的保護計劃,但是在執(zhí)行保護工作的過程中卻常常因為缺乏健全的響應(yīng)計劃而導(dǎo)致信息資產(chǎn)的損失。特別是對于那些服務(wù)范圍只涉及建設(shè)過程的監(jiān)理,如果在規(guī)劃階段忽視了運營過程中的響應(yīng)機制,就會給客戶遺留一個缺乏后續(xù)保障的安全體系。
除此以外,還有很多問題值得關(guān)注,但相對來說有更多的范例可以借鑒,同時也更加容易通過規(guī)范來保障。信息安全監(jiān)理應(yīng)該在全局掌握的基礎(chǔ)上,重點關(guān)注那些相對容易忽視、可變性較高、人員協(xié)調(diào)需要較強的范疇。
有效溝通是保障
規(guī)劃的建立只是開始,在整個信息安全監(jiān)理工作過程中,應(yīng)該通過與用戶的充分溝通,形成一套切實可行的安全管理制度。一般常見的安全管理制度包括了權(quán)限管理、操作規(guī)章、定期檢測制度、信息分級、信息銷毀、介質(zhì)管理、響應(yīng)計劃、變更管理、員工培訓(xùn)等等。在形成制度的同時,一個更加不容忽視的問題在于制度的學(xué)習(xí)和實踐,這也是監(jiān)理機構(gòu)發(fā)揮督管作用的重要陣地。
在實際工作過程中,制度的推行往往在客戶方遇到一定的阻礙,而面對這種阻礙,往往會導(dǎo)致實施方降低項目的推進力。在這種情況下,監(jiān)理方應(yīng)該及時、確實的把握雙方的思維動向,緩沖雙方之間的矛盾,以便于達到項目協(xié)調(diào)的作用。
另外,監(jiān)理方還應(yīng)該對照雙方確認完成的制度條款,通過檢驗手段保證安全管理工作能夠順利實施。這樣既能夠保證用戶得到有效的安全保護系統(tǒng),同時也是對實施方的工作成果負責(zé),在此基礎(chǔ)上監(jiān)理方才能對雙方的利益開展協(xié)調(diào)。在監(jiān)理工作當(dāng)中還有一個需要高度重視的問題,那就是監(jiān)理方本身對于制度的遵守和執(zhí)行。
作為用戶與實施方的媒介,監(jiān)理方必須嚴格依照實現(xiàn)制訂的標準完成監(jiān)理工作,這是獲得信任的基礎(chǔ)。同時監(jiān)理方也應(yīng)該盡力遵守用戶和實施方之間的協(xié)議以及制訂出的制度(例如進場制度),只有得到兩方的尊重,才能順利保證監(jiān)理工作的開展。
篇12
21世紀是信息的時代,一方面,信息科學(xué)和技術(shù)正處于空前繁榮的階段,信息產(chǎn)業(yè)成為世界第一大產(chǎn)業(yè),另一方面,危害信息安全的事件不斷發(fā)生,信息安全的形勢是嚴峻的。因此在信息社會中,只有厘清信息系統(tǒng)的安全需求,才能確切地把握各類信息系統(tǒng)及計算機網(wǎng)絡(luò)系統(tǒng)等所面臨的風(fēng)險,并使信息安全風(fēng)險處于可控范圍之內(nèi)。該文的研究旨在從信息系統(tǒng)安全等級保護的角度,系統(tǒng)地分析信息系統(tǒng)的安全需求,從而為切實保證網(wǎng)絡(luò)基礎(chǔ)設(shè)施與業(yè)務(wù)系統(tǒng)安全、可靠運行提供理論依據(jù)。
1 信息系統(tǒng)安全威脅
要保證信息系統(tǒng)的安全可靠,必須全面了解信息系統(tǒng)可能面臨的所有安全威脅和風(fēng)險。威脅是指可能對信息系統(tǒng)資產(chǎn)或所在組織造成損害事故的潛在原因;威脅雖然有各種各樣的存在形式,但其結(jié)果是一致的,都將導(dǎo)致對信息或資源的破壞,影響信息系統(tǒng)的正常運行,破壞提供服務(wù)的有效性、可靠性和權(quán)威性。
任何可能對信息系統(tǒng)造成危害的因素,都是對系統(tǒng)的安全威脅。威脅不僅來來自人為的破壞,也來自自然環(huán)境,包括各種人員、機構(gòu)出于各自目的的攻擊行為,系統(tǒng)自身的安全缺陷以及自然災(zāi)難等。信息系統(tǒng)可能面臨的威脅見圖1。
2 信息系統(tǒng)安全需求分析
信息系統(tǒng)等級保護的安全需求基本分為技術(shù)需求和管理需求兩大類。
技術(shù)類安全需求通常與信息系統(tǒng)提供的技術(shù)安全機制有關(guān),主要是通過在信息系統(tǒng)中部署軟硬件并正確的配置其安全功能來實現(xiàn);管理類安全需求通常與信息系統(tǒng)中各種角色參與的活動有關(guān),主要是通過控制各種角色的活動,從政策、制度、規(guī)范、流程以及記錄等方面做出規(guī)定來實現(xiàn)。
2.1 信息系統(tǒng)安全技術(shù)需求
2.1.1 物理需求
(1)當(dāng)面臨雷擊、地震、臺風(fēng)、高溫等自然災(zāi)難,需要通過對物理位置的選擇、溫濕度的控制,以及采取防雷擊措施等來解決問題;
(2)供電系統(tǒng)故障,需要合理設(shè)計電力供應(yīng)系統(tǒng),如:購買UPS系統(tǒng)或者建立發(fā)電機機房來保障電力的供應(yīng);
(3)網(wǎng)絡(luò)設(shè)備、系統(tǒng)設(shè)備及其他設(shè)備使用時間過長等原因?qū)е掠布收希枰ㄟ^對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗收進行管理,對存儲介質(zhì)進行管理,建立一套監(jiān)控管理體系;
(4)攻擊者利用非法手段進入機房內(nèi)部盜竊、破壞等,需要進行環(huán)境管理、采取物理訪問控制策略、實施防盜竊和防破壞等控制措施。
2.1.2 網(wǎng)絡(luò)需求
(1)內(nèi)部人員未授權(quán)接入外部網(wǎng)絡(luò),需要通過邊界的完整性檢查、網(wǎng)絡(luò)審計、主機審計、應(yīng)用審計等手段解決。
(2)設(shè)施、通信線路、設(shè)備或存儲介質(zhì)因使用、維護或保養(yǎng)不當(dāng)?shù)仍驅(qū)е鹿收希枰ㄟ^線路狀態(tài)檢測、線路冗余、數(shù)據(jù)備份與恢復(fù)等技術(shù)手段解決。
(3)攻擊者惡意地消耗網(wǎng)絡(luò)、操作系統(tǒng)和應(yīng)用系統(tǒng)資源,導(dǎo)致拒絕服務(wù),需要通過主機資源優(yōu)化、網(wǎng)絡(luò)入侵檢測與防范、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整與優(yōu)化等技術(shù)手段解決。
(4)攻擊者盜用授權(quán)用戶的會話連接,需通過身份鑒別、訪問控制、通信加密等技術(shù)手段解決。
2.1.3 系統(tǒng)需求
(1)攻擊者在軟硬件分發(fā)環(huán)節(jié)(生產(chǎn)、運輸?shù)龋┲袗阂飧能浻布柰ㄟ^惡意代碼方法、控制臺審計等技術(shù)手段解決。
(2)攻擊者利用網(wǎng)絡(luò)擴散病毒,需通過惡意代碼方法、控制臺審計等技術(shù)手段解決。
(3)內(nèi)部人員下載、拷貝軟件或文件,打開可疑郵件時引入病毒。需通過惡意代碼防范技術(shù)手段解決。
(4)授權(quán)用戶對系統(tǒng)錯誤配置或更改。需通過安全審計、數(shù)據(jù)備份和恢復(fù)等技術(shù)手段解決。
2.1.4 應(yīng)用安全需求
(1)系統(tǒng)軟件、應(yīng)用軟件運行故障,需要通過對產(chǎn)品采購、自行軟件開發(fā)、外包軟件和測試驗收進行管理,對入侵系統(tǒng)和軟件的行為進行監(jiān)測和報警;
(2)系統(tǒng)軟件、應(yīng)用軟件過度使用內(nèi)存、CPU等系統(tǒng)資源,需要對系統(tǒng)軟件和應(yīng)用軟件進行入侵行為的防范,并進行實時的監(jiān)控管理;
(3)攻擊者進行非法訪問,需要對網(wǎng)絡(luò)設(shè)備進行防護、對訪問網(wǎng)絡(luò)的用戶進行訪問控制、對訪問網(wǎng)絡(luò)的用戶身份進行鑒別來加強訪問控制措施;
(4)攻擊者提供偽造的應(yīng)用系統(tǒng)服務(wù)進行信息的竊取,需要加強網(wǎng)絡(luò)邊界完整性檢查,加強對網(wǎng)絡(luò)設(shè)備進行防護、對訪問網(wǎng)絡(luò)的用戶身份進行鑒別。
2.1.5 數(shù)據(jù)安全需求
(1)內(nèi)部人員利用技術(shù)或管理漏洞,未授權(quán)修改重要系統(tǒng)數(shù)據(jù)或修改系統(tǒng)程序,需要通過網(wǎng)絡(luò)安全審計、惡意代碼防范、網(wǎng)絡(luò)訪問控制、身份鑒別、通信完整性、入侵防范等技術(shù)手段解決;
(2)攻擊者截獲數(shù)據(jù),進行篡改、插入,并重發(fā),造成數(shù)據(jù)的完整性、真實性喪失,需要通過通信完整性、數(shù)據(jù)完整性、通信保密性、數(shù)據(jù)保密性、密碼管理等技術(shù)手段解決;
(3)通信過程中受到干擾等原因發(fā)生數(shù)據(jù)傳輸錯誤,需要通過通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決;
(4)攻擊者利用通信干擾工具,故意導(dǎo)致通信數(shù)據(jù)錯誤,需要通過結(jié)構(gòu)安全和網(wǎng)段劃分、通信完整性、數(shù)據(jù)完整性等技術(shù)手段解決。
2.2 信息系統(tǒng)安全管理需求
2.2.1 管理機構(gòu)
(1)需要建立安全職能部門,設(shè)置安全管理崗位,配備必要的安全管理人員、網(wǎng)絡(luò)管理人員、系統(tǒng)管理人員;
(2)需要配備相應(yīng)的安全管理員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員;
(3)需要建立定期和不定期的協(xié)調(diào)會,就信息安全相關(guān)的業(yè)務(wù)進行協(xié)調(diào)處理;
(4)需要建立相應(yīng)的審核和檢查部門,安全人員定期的進行全面的安全檢查。
2.2.2 管理制度
(1)需要制定信息安全工作的總體方針、政策性文件和安全策略等,說明機構(gòu)安全工作的總體目標、范圍、方針、原則、責(zé)任等;
(2)需要建立安全管理制度,對管理活動進行制度化管理,制定相應(yīng)的制定和制度;
(3)需要各功能部門協(xié)調(diào)機制,進行必要的溝通和合作;
(4)需要建立恰當(dāng)?shù)穆?lián)絡(luò)渠道,進行必要的溝通和合作,在必要的時候,進行事件的有效處理;
(5)需要建立備案管理制度,對系統(tǒng)的定級進行備案。
2.2.3 人員安全
(1)需要對人員的錄用進行必要的管理,確保人員錄用的安全;
(2)需要對人員的考核進行嚴格的管理,提高人員的安全技能和安全意識;
(3)需要對人員進行安全意識的教育和培訓(xùn),提高人員的安全意識;
(4)需要對第三方人員訪問進行嚴格的控制,確保第三方人員訪問的安全。
2.2.4 系統(tǒng)建設(shè)
(1)需要具有設(shè)計合理、安全網(wǎng)絡(luò)結(jié)構(gòu)的能力;
(2)需要密碼算法和密鑰的使用符合國家有關(guān)法律、法規(guī)的規(guī)定;
(3)需要任何變更控制和設(shè)備重用要申報和審批,并對其實行制度化的管理;
(4)需要對信息系統(tǒng)進行合理定級,并進行備案管理;
(5)需要自行開發(fā)過程和工程實施過程中的安全;
(6)需要對軟硬件的分發(fā)過程進行控制;
(7)需要信息安全事件實行分等級響應(yīng)、處置。
2.2.5 系統(tǒng)運維
(1)需要各種網(wǎng)絡(luò)設(shè)備、服務(wù)器正確使用和維護;
(2)需要用戶具有鑒別信息使用的安全意識;
(3)需要硬件設(shè)備、存儲介質(zhì)存放環(huán)境安全,并對其的使用進行控制和保護;
(4)需要提供足夠的使用手冊、維護指南等資料;
(5)需要在事件發(fā)生后能采取積極、有效的應(yīng)急策略和措施。
3 結(jié)論與建議
3.1 以信息系統(tǒng)安全需求促進系統(tǒng)安全等級保護,建立信息安全管理的長效機制
信息安全等級保護是國家信息安全保障工作的基礎(chǔ)制度,信息安全需求的研究是從系統(tǒng)風(fēng)險管理角度最大限度地為保障信息安全提供科學(xué)依據(jù),作為信息系統(tǒng)使用機構(gòu),開展信息安全等級保護定級和信息安全需求研究工作,其最終目標就是建立“量身定做”的信息安全管理體系。按照“誰主管誰負責(zé)、誰運營誰負責(zé)”和“適度安全、保護重點”的原則,準確進行安全等級定級,并在信息化建設(shè)整個生命周期中構(gòu)建好信息安全管理體系,并緊緊圍繞“信息系統(tǒng)安全需求”這個等級保護主要抓手,結(jié)合國家規(guī)范、行業(yè)規(guī)范和系統(tǒng)工作實際,認真探索、大膽創(chuàng)新。
3.2 信息系統(tǒng)安全需求分析是信息安全管理的重要環(huán)節(jié)
信息系統(tǒng)安全需求的研究是信息安全管理的一個階段,是信息安全風(fēng)險管理的重要環(huán)節(jié),是信息安全保障體系建立過程中的重要決策機制。信息安全管理要依靠是否滿足系統(tǒng)安全的需求來確定隨后的風(fēng)險控制和審核批準活動。信息系統(tǒng)安全需求的提出使得機構(gòu)能夠準確“定位”安全管理的策略、實踐和工具,能夠?qū)踩顒拥闹攸c放在重要的問題上,能夠選擇成本效益合理的和適用的安全對策。因此,系統(tǒng)安全需求是信息安全管理體系和信息管理管理的基礎(chǔ),是對現(xiàn)有網(wǎng)絡(luò)的安全性進行分析的第一手資料,也是網(wǎng)絡(luò)安全領(lǐng)域內(nèi)最重要的內(nèi)容之一,它為實施風(fēng)險管理和風(fēng)險控制提供了直接依據(jù)。
參考文獻
篇13
(3)網(wǎng)絡(luò)通信安全較為脆弱。網(wǎng)絡(luò)通信安全五項指標中,網(wǎng)絡(luò)攻擊防護與業(yè)務(wù)文檔記錄方面,醫(yī)院相對比較重視,比例分別達到94%與84%,但實地調(diào)查發(fā)現(xiàn)其網(wǎng)絡(luò)攻擊防護還處于低水平狀態(tài)。實行網(wǎng)絡(luò)隔離與訪問控制的醫(yī)院僅占30%,大多數(shù)醫(yī)院網(wǎng)絡(luò)訪問隨意性大,醫(yī)院網(wǎng)絡(luò)可隨意互訪,信息流通和共享暢通無阻,這給醫(yī)院信息安全帶來極大的安全隱患。實行入侵檢測的醫(yī)院不到30%,說明中國數(shù)字化醫(yī)院還處于被動防御階段,遠未達到主動防御水平,同時信息系統(tǒng)的縱深防護水平不高,由此導(dǎo)致數(shù)字化醫(yī)院以計算機病毒、黑客攻擊等為代表的安全事件頻繁發(fā)生。實行密鑰管理的醫(yī)院則僅13%,說明醫(yī)院網(wǎng)絡(luò)密鑰其實幾乎還處于無人監(jiān)管狀態(tài)。
(4)人員安全隱患重重。人員安全四項指標調(diào)查結(jié)果都不容樂觀,尤其是進行第三方合作合同的控制和管理的醫(yī)院僅占10%,說明中國數(shù)字化醫(yī)院在人員安全管理方面還遠未重視,由此導(dǎo)致醫(yī)院內(nèi)部存在大量網(wǎng)絡(luò)操作違規(guī)現(xiàn)象。如,網(wǎng)絡(luò)操作人員隨意將自己的登錄賬號轉(zhuǎn)借他人,隨意將一些存儲介質(zhì)接入信息系統(tǒng),未經(jīng)授權(quán)同時訪問外網(wǎng)與內(nèi)網(wǎng),一些人員為了謀取個人私利,非法訪問內(nèi)部網(wǎng)絡(luò),竊取、偽造、篡改醫(yī)療數(shù)據(jù)等,這使得中國數(shù)字化醫(yī)院信息安全事故頻頻發(fā)生。
(5)組織管理安全有待加強。組織管理安全四項指標中,160家醫(yī)院都設(shè)置了安全管理組織機構(gòu),說明所有醫(yī)院都很重視信息安全管理工作,但安全管理制度完整的醫(yī)院僅114家,且多數(shù)在應(yīng)急管理制度制定方面較為欠缺,而安全管理制度實施情況調(diào)查顯示,只有40%的醫(yī)院安全管理制度得到實施,這意味著60%的醫(yī)院的安全管理制度形同虛設(shè)。在人力財力保障方面給予充分保障的醫(yī)院不到50%,由于缺乏人力財力的保障,目前許多醫(yī)院信息安全系統(tǒng)建設(shè)難以為繼。綜上所述,中國數(shù)字化醫(yī)院還存在著極大的信息安全隱患。因此,數(shù)字化醫(yī)院信息安全建設(shè)已迫在眉睫。
2動態(tài)網(wǎng)絡(luò)安全模型的比較分析
面對復(fù)雜多樣的信息安全風(fēng)險以及日益嚴峻的信息安全局勢,動態(tài)網(wǎng)絡(luò)安全模型為中國數(shù)字化醫(yī)院信息安全建設(shè)提供了理論基礎(chǔ)。典型的動態(tài)網(wǎng)絡(luò)安全模型有PPDR模型、PDRR模型、MPDRR模型和WPDRRC模型等,這些安全模型各有特點,各有側(cè)重,已廣泛應(yīng)用于多個領(lǐng)域的信息安全建設(shè)實踐。環(huán)節(jié)。它強調(diào)在安全策略的指導(dǎo)下,綜合采用防火墻、VPN等安全技術(shù)進行防護的同時,利用入侵檢測系統(tǒng)等檢測工具,發(fā)現(xiàn)系統(tǒng)的異常情況,以及可能的攻擊行為,并通過關(guān)閉端口、中斷連接、中斷服務(wù)等響應(yīng)措施將系統(tǒng)調(diào)整到一個比較安全的狀態(tài)。其中,安全策略是核心,防護、檢測和響應(yīng)環(huán)節(jié)組成了一個完整、動態(tài)的安全循環(huán),它們共同保證網(wǎng)絡(luò)系統(tǒng)的信息安全。(2)PDRR模型。PDRR模型是在PPDR模型基礎(chǔ)上增加恢復(fù)(Recovery)環(huán)節(jié)發(fā)展而來,由防護(Protection)、檢測(Detection)、響應(yīng)(Re-sponse)和恢復(fù)(Recovery)四個環(huán)節(jié)組成(見圖2)。其核心思想是在安全策略的指導(dǎo)下,通過采取各種措施對需要保護的對象進行安全防護,并隨時進行安全跟蹤和檢測以了解其安全狀態(tài),一旦發(fā)現(xiàn)其安全受到攻擊或存在安全隱患,則馬上采取響應(yīng)措施,直至恢復(fù)安全保護對象的安全狀態(tài)。與PPDR模型相比,PDRR模型更強調(diào)一種故障的自動恢復(fù)能力,即系統(tǒng)在被入侵后,能迅速采取相應(yīng)措施將系統(tǒng)恢復(fù)到正常狀態(tài),從而保障系統(tǒng)的信息安全。因此,PDRR模型中的安全概念已經(jīng)從信息安全擴展到了信息保障,信息保障內(nèi)涵已超出傳統(tǒng)的信息安全保密,是防護、檢測、響應(yīng)、恢復(fù)的有機結(jié)合。
3基于動態(tài)網(wǎng)絡(luò)安全模型的中國數(shù)字化醫(yī)院信息安全體系構(gòu)建
結(jié)合動態(tài)網(wǎng)絡(luò)安全模型,并依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》(GB/T22239—2008)、《信息安全技術(shù)信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》(GB/T25070—2010)等標準規(guī)范,本文試構(gòu)建一個以信息安全組織機構(gòu)為核心,以信息安全策略、信息安全管理、信息安全技術(shù)為維度的數(shù)字化醫(yī)院信息安全體系三維立體框架。即,在進行數(shù)字化醫(yī)院信息安全建設(shè)時,我們應(yīng)成立一個信息安全組織機構(gòu),并以此為中心,通過制定信息安全總體策略、加強信息安全管理,利用各項信息安全技術(shù),并將其貫徹在預(yù)警、保護、檢測、響應(yīng)、恢復(fù)和反擊6個環(huán)節(jié)中,針對不同的安全威脅,采用不同的安全措施,從而對系統(tǒng)物理設(shè)備、系統(tǒng)軟件、數(shù)據(jù)信息等受保護對象進行全方位多層次保護。
(1)信息安全組織機構(gòu)是數(shù)字化醫(yī)院信息安全體系構(gòu)成要素中最重要的因素,在信息安全體系中處于核心地位。它由決策機構(gòu)、管理機構(gòu)與執(zhí)行機構(gòu)三部分組成。其中,決策機構(gòu)是醫(yī)院信息安全工作的最高領(lǐng)導(dǎo)機構(gòu),負責(zé)對醫(yī)院信息安全工作進行總體規(guī)劃與宏觀領(lǐng)導(dǎo),其成員由醫(yī)院主要領(lǐng)導(dǎo)及其他相關(guān)職能部門主要負責(zé)人組成。管理機構(gòu)在決策機構(gòu)的領(lǐng)導(dǎo)下,負責(zé)信息安全體系建設(shè)規(guī)劃的制定,以及信息安全的日常管理工作,其成員主要來自于信息化工作部門,也包括行政、人事等部門相關(guān)人員參與。執(zhí)行機構(gòu)在管理機構(gòu)的領(lǐng)導(dǎo)下,負責(zé)保證信息安全技術(shù)的有效運行及日常維護,其成員主要由信息化工作部門相關(guān)技術(shù)人員及其他相關(guān)職能部門的信息安全員組成。信息安全組織機構(gòu)應(yīng)對醫(yī)院信息安全工作進行科學(xué)規(guī)劃,經(jīng)常進行不定期的信息安全檢查、評估和應(yīng)急安全演練。其中對那些嚴重危及醫(yī)院信息安全的行為應(yīng)進行重點管理和監(jiān)督,明確信息安全責(zé)任制,從而保證信息安全各項工作的有效貫徹與落實。
(2)信息安全策略是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的基礎(chǔ)。其具體制定應(yīng)依據(jù)國家信息安全戰(zhàn)略的方針政策、法律法規(guī),遵循指導(dǎo)性、原則性、可行性、動態(tài)性等原則,按照醫(yī)療行業(yè)標準規(guī)范要求,并結(jié)合醫(yī)院自身的具體情況來進行,由總體方針與分項策略兩個層次組成,內(nèi)容涵蓋技術(shù)層、管理層等各個層面的安全策略,最終實現(xiàn)“進不來、拿不走、看不懂、改不了、逃不掉”的安全防御目的,即在訪問控制機制方面做到“進不來”、授權(quán)機制方面做到“拿不走”、加密機制方面做到“看不懂”、數(shù)據(jù)完整性機制方面做到“改不了”、審計/監(jiān)控/簽名機制方面做到“逃不掉”。
(3)信息安全管理是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的保障。它包括人員管理、技術(shù)管理和操作管理等方面。當(dāng)前中國數(shù)字化醫(yī)院在信息安全管理中普遍存在的問題:在安全管理中對人的因素重視不夠、缺乏懂得管理的信息安全技術(shù)人員、信息安全意識不強、員工接受的教育和培訓(xùn)不夠、安全管理中被動應(yīng)付的較多等。因此,數(shù)字化醫(yī)院一方面應(yīng)加強全員信息安全意識,加大信息安全人員的引進、教育與培訓(xùn)力度,提高信息安全管理水平;另一方面應(yīng)制定具體的信息安全管理制度,以規(guī)范與約束相關(guān)人員行為,保證信息安全總體策略的貫徹與信息安全技術(shù)的實施。
(4)信息安全技術(shù)是數(shù)字化醫(yī)院信息安全得以實現(xiàn)的關(guān)鍵。數(shù)字化醫(yī)院信息安全建設(shè)涉及防火墻、防病毒、黑客追蹤、日志分析、異地容災(zāi)、數(shù)據(jù)加密、安全加固和緊急響應(yīng)等技術(shù)手段,它們貫穿于信息安全預(yù)警、保護、檢測、響應(yīng)、恢復(fù)與反擊六個環(huán)節(jié)。數(shù)字化醫(yī)院應(yīng)切實加強這六個環(huán)節(jié)的技術(shù)力量,確保其信息安全得以實現(xiàn),具體體現(xiàn)在:①預(yù)警。醫(yī)院應(yīng)通過部署系統(tǒng)監(jiān)控平臺,實現(xiàn)對路由器、交換機、服務(wù)器、存儲、加密機等系統(tǒng)硬件、操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件以及各種應(yīng)用軟件的監(jiān)控和預(yù)警,實現(xiàn)設(shè)備和應(yīng)用監(jiān)控預(yù)警;或采用入侵防御系統(tǒng),分析各種安全報警、日志信息,結(jié)合使用網(wǎng)絡(luò)運維管理系統(tǒng),實現(xiàn)對各種安全威脅與安全事件的預(yù)警;并將這些不同層面的預(yù)警,統(tǒng)一到一套集中的監(jiān)控預(yù)警平臺或運維管理平臺,實現(xiàn)統(tǒng)一展現(xiàn)和集中預(yù)警。②保護。主要包括物理安全、系統(tǒng)安全與網(wǎng)絡(luò)通信安全等方面的安全保護。對于中心機房、交換機、工作站、服務(wù)器等物理設(shè)備的安全防護,主要注意防水、防雷、防靜電以及雙機熱備等安全防護工作。系統(tǒng)安全主要包括操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)等的安全防護。操作系統(tǒng)的主要風(fēng)險在于系統(tǒng)漏洞和文件病毒等。為此,醫(yī)院需運用防火墻技術(shù)控制和管理用戶訪問權(quán)限,并定期做好監(jiān)視、審計和事件日志記錄和分析。所有工作站應(yīng)取消光驅(qū)軟驅(qū),屏蔽USB接口,同時為各個客戶端安裝殺毒軟件,并及時更新,從源頭上預(yù)防系統(tǒng)感染病毒。數(shù)據(jù)庫安全涉及用戶安全、數(shù)據(jù)保密與數(shù)據(jù)安全等。為此,需對數(shù)據(jù)庫進行權(quán)限設(shè)置。對于關(guān)鍵數(shù)據(jù),應(yīng)進行加密存儲。對于重要數(shù)據(jù)庫應(yīng)做好多種形式的備份工作,如本地備份與異地備份、全量備份與增量備份等,以保證數(shù)據(jù)萬無一失。對于網(wǎng)絡(luò)通信安全防護,醫(yī)院網(wǎng)絡(luò)應(yīng)采用物理隔離的雙網(wǎng)架構(gòu),如果內(nèi)網(wǎng)確需開展對外的WWW等服務(wù),應(yīng)單獨設(shè)置VLAN,結(jié)合防火墻設(shè)備,通過設(shè)置DMZ的方式實現(xiàn)與外界的安全相連。同時,醫(yī)院應(yīng)合理的設(shè)置網(wǎng)絡(luò)使用權(quán)限,嚴格進行用戶網(wǎng)絡(luò)密碼管理,防止越權(quán)操作。③檢測。檢測是從監(jiān)視、分析、審計信息網(wǎng)絡(luò)活動的角度,發(fā)現(xiàn)對于信息網(wǎng)絡(luò)的攻擊、破壞活動,提供預(yù)警、實時響應(yīng)、事后分析和系統(tǒng)恢復(fù)等方面的支持,使安全防護從單純的被動防護演進到積極的主動防御。前述防護系統(tǒng)能阻止大部分入侵事件的發(fā)生,但是它不能阻止所有的入侵。因此安全策略的另一個重要屏障就是檢測。常用工具是入侵檢測系統(tǒng)(IDS)和漏洞掃描工具。利用入侵檢測系統(tǒng)(IDS)對醫(yī)院系統(tǒng)信息安全狀況進行實時監(jiān)控,并定期查看入侵檢測系統(tǒng)生成的報警日志,可及時發(fā)現(xiàn)信息系統(tǒng)是否受到安全攻擊。而通過漏洞掃描工具,可及時檢測信息系統(tǒng)中關(guān)鍵設(shè)備是否存在各種安全漏洞,并針對漏洞掃描結(jié)果,對重要信息系統(tǒng)及時進行安全加固。④響應(yīng)。主要包括審計跟蹤、事件報警、事件處理等。醫(yī)院應(yīng)在信息系統(tǒng)中部署安全監(jiān)控與審計設(shè)備以及帶有自動響應(yīng)機制的安全技術(shù)或設(shè)備,當(dāng)系統(tǒng)受到安全攻擊時能及時發(fā)出安全事故告警,并自動終止信息系統(tǒng)中發(fā)生的安全事件。為了確保醫(yī)院正常的醫(yī)療服務(wù)和就醫(yī)秩序,提高醫(yī)院應(yīng)對突發(fā)事件的能力,醫(yī)院還應(yīng)成立信息安全應(yīng)急響應(yīng)小組,專門負責(zé)突發(fā)事件的處理,當(dāng)醫(yī)院信息系統(tǒng)出現(xiàn)故障時,能迅速做出響應(yīng),從而將各種損失和社會影響降到最低。其他事件處理則可通過咨詢、培訓(xùn)和技術(shù)支持等得到妥善解決。⑤恢復(fù)。主要包括系統(tǒng)恢復(fù)和信息恢復(fù)兩個方面。系統(tǒng)恢復(fù)可通過系統(tǒng)重裝、系統(tǒng)升級、軟件升級和打補丁等方式得以實現(xiàn)。信息恢復(fù)主要針對丟失數(shù)據(jù)的恢復(fù)。數(shù)據(jù)丟失可能來自于硬件故障、應(yīng)用程序或數(shù)據(jù)庫損壞、黑客攻擊、病毒感染、自然災(zāi)害或人為錯誤。信息恢復(fù)跟數(shù)據(jù)備份工作密切相關(guān),數(shù)據(jù)備份做得是否充分影響到信息恢復(fù)的程度。在信息恢復(fù)過程中要注意信息恢復(fù)的優(yōu)先級別。直接影響日常生活和工作的信息必須先恢復(fù),這樣可提高信息恢復(fù)的效率。另外,恢復(fù)工作中如果涉及機密數(shù)據(jù),需遵照機密系統(tǒng)的恢復(fù)要求。⑥反擊。醫(yī)院可采用入侵防御技術(shù)、黑客追蹤技術(shù)、日志自動備份技術(shù)、安全審計技術(shù)、計算機在線調(diào)查取證分析系統(tǒng)和網(wǎng)絡(luò)運維管理系統(tǒng)等手段,進行證據(jù)收集、追本溯源,實現(xiàn)醫(yī)院網(wǎng)絡(luò)安全系統(tǒng)遭遇不法侵害時對各種安全威脅源的反擊。
