青岛四方信息安全保障体系建设研究

青岛四方信息安全保障体系建设研究

摘要：青岛四方企业信息安全保障工作仍处于初级阶段，信息安全缺乏整体规划，未形成常态化的安全工作机制。为进一步提升青岛四方信息安全，本文在分析青岛四方信息安全存在的风险和需求的基础上，结合青岛四方信息化建设的特点，提出青岛四方信息安全保障体系框架，论述青岛四方建设信息安全体系的重要内容。

关键词：青岛四方信息化；信息安全；信息安全保障；

1前言

伴随着国际竞争的不断激烈，安全形势越来越严峻。政府、金融、电信等行业对信息安全重视度逐年提高。在国家信息系统等级保护政策的指导下，青岛四方已经将风险评估工作纳入到日常工作中，提高了现有信息系统抵御网络攻击的能力，规避了大量风险。

但是目前青岛四方的信息安全建设主要着重于修复现有系统漏洞，存在较大弊端。如：往往针对某个安全问题进行单一的加固，按照国家或上级的某项要求开展工作，缺乏整体规划，忙于应付。

2青岛四方信息安全现状与需求

2.1青岛四方信息安全内容

青岛四方信息安全是指保障青岛四方业务系统不被非法访问、利用和篡改，为青岛四方员工提供安全、可信的服务，保证信息系统的可用性、完整性和保密性。

青岛四方企业信息安全保障对象包括：1）业务系统正常运行及数据的安全--包括PDM系统、OA系统和E-HR系统等。2）基础设施安全--网络与基础设施包括内部网络和技术中心机房。

2.2青岛四方信息安全存在的问题

1)安全意识不够高

信息安全在传统重型机械制造型企业中由于无法量化，管理人员认识不够等原因，往往被忽视，许多部门的网络与系统缺乏必要的安全设置来进行安全防护；另外，青岛四方员工由于不了解安全威胁的严峻和当前的安全现状，在使用办公电脑、应用系统和网络时只关注易用性而忽视信息安全的存在。

2)信息安全工作未纳入日常工作

信息安全保障工作需要以检查的形式进行推动，如上级部门的安全检查。但是信息安全管理委员会和信息安全办公室，只是在发生网络安全事件时才发挥相应的作用，未将信息安全保障纳入到日常工作计划中。

3)缺乏规范化运作

青岛四方的系统运维、安全管理缺乏规范，往往存在信息安全隐患。

4)安全设计存在缺陷

青岛四方应用系统建设初期，缺乏合理的安全设计方案，从而导致应用系统建成后存在诸多问题，如sql注入、跨占脚本攻击，无详细的审计日志，身份认证信息强度不足，软件容错性差等。

2.3需求分析

青岛四方信息系统面临的主要风险有终端非法接入、应用服务中断和信息泄露。为应对上述风险，可从信息安全管理和信息安全技术出发，建立相应的安全体系。

3青岛四方信息安全体系框架

上述分析表明，青岛四方信息安全问题根源分布在技术、人员、管理、运作等多个层面，须统一规划并建立企业信息安全保障体系，并最终落实到管理措施和技术措施，才能确保信息安全。3.1信息安全模型

信息安全是在企业信息安全策略指导下在企业管理体制下，借助技术手段来实现的。包括信息安全策略、安全管理、安全运行和信息安全技术措施，如下图：

图1信息安全模型

信息安全策略是一个组织机构中解决信息安全问题最重要的部分。一个组织的信息安全策略反映出一个组织对于现实和未来安全风险的认识水平，对于组织内部业务人员和技术人员安全风险的假定与处理。

信息安全管理是企业为了实现信息安全策略的管理行为，信息安全运行体现了安全管理成效，反映信息运行安全情况。

信息安全技术是信息安全的基础支撑。

信息安全模型运转后，会形成的一整套对信息安全的管理规定及运行记录文档，即信息安全文件体系，分为四个层面，与安全面模型对应，如下图：

图2信息安全四要素与安全文件体系

青岛四方信息安全保障体系建设应注重安全体系文件的建立，并定期对记录性文档进行审核，检查实际的运作情况；安排相关人员对安全管理制度、技术规范、操作章程进行年度评审，补充或修订其内容，以适应信息系统发展的需求；结合企业发展规划，定期对信息安全方针及策略进行评审修订，以适应企业发展需要。

3.2青岛四方信息安全保障体系框架

青岛四方信息安全保障体系建立在信息安全模型与青岛四方信息化的基础上，分为信息安全策略、安全管理、运行安全、安全技术措施四个模块，框架如下图：

图3青岛四方信息安全保障体系框架

青岛四方信息安全策略方针须结合青岛四方现有信息系统的特点，将信息安全与青岛四方信息系统安全生产相结合。

信息安全管理涉及到安全组织架构、信息安全管理制度、安全监察评价机制、业务连续性计划和风险管理机制等。

信息安全保障体系的运行是指相关安全管理制度在实际信息系统生产过程中得到落实，涉及安全巡检、运维技术规范和运维流程优化等内容，目标是保障运维人员操作规范，降低运维人员操作所导致的安全风险。

技术措施是企业采用的各种技术手段，从物理安全、网络安全、应用安全、系统安全和数据安全出发，来建立完善的技术保障体系。

4青岛四方信息安全保障体系建设

4.1信息安全策略

青岛四方的业务模式的特性决定了其业务系统拥有“具有现金价值的数据”，对整体的信息安全水平也提出了极高的要求。在信息化建设过程中，青岛四方对信息安全的重视程度很高，依照国家信息安全等级保护要求，通过配置防火墙、防病毒、入侵检测/保护系统、漏洞扫描等安全设备和软件工具，逐步建立了相对完备的信息安全技术体系，提升企业整体安全防御的基础。

4.2信息安全管理

青岛四方在信息安全管理方面存在很大的进步空间，主要在如下几个方面：虽然建立了信息安全管理委员会和信息安全办公室，但在实际的整体业务运作过程中，未发挥其作用；员工思想未进

行转变，仍然以为网络安全离自己很远，是信息技术中心应该考虑的事情；岗位职责划分不明确，导致安全职责不明确。

在安全保障体系建设过程中，须调动相关运维人员查找和排除风险的积极性，利用建立的风险排查机制，定期对信息系统进行检查与风险排除，形成良性循环。须将安全考核结果纳入公司正常绩效考核内容。

现有的业务部门并未指定业务连续性计划，当信息安全事故发生时，必将影响到办公、生产等系统的正常运行。青岛四方须从大局视角出发，指定整体的应急响应总体方针，各个部门按照公司的总体应急响应方针结合业务系统的特点，完成相应的业务连续性计划的制定，并在后期的工作实践中进行修订与完善。

青岛四方参照ISO27001，建立了一套完整的制度体系，制定信息安全管理要求及通用技术规范标准。涉及公司整体信息安全方针和信息安全管理细则等内容，明确公司安全要求具体如何实施。

人员安全是信息安全管理过程中重要的一环。首先，青岛四方的信息建设涉及到内部员工和第三方人员。在信息系统日常运作与维护过程中，过于依赖第三方人员；对第三方人员权限控制不足；对开发商入场部署、测试等环节缺乏控制等种种问题。其次，员工信息安全意识薄弱，没有真正认识到信息安全的重要性，最终信息安全工作流于形式；最后，员工技术水平不足。因此，在人员安全方面，首先须制定对第三方人员的管理办法，强调对外部人员访问、操作权限的审批、回收；开展信息安全教育，树立全员参与的信息安全的氛围，尤其是要提高领导层面对信息安全的认识；不定期开展技术培训，并在上岗前进行技术考核，实行技术人员持证上岗。

4.3信息安全运行

青岛四方信息安全运行是通过建立规范化运维流程和运维巡检等标准或机制，确保对基础环境、软硬件平台、业务系统、终端安全运行维护。

1）基础环境包括机房、办公环境、IT设备，应建立设备或基础设施运维过程的操作章程。内容包括：明确技术中心机房及相关设施的安全检查、出入管理、门禁安防、操作规范和定期巡检等。指定相关设施和设备责任人，规范设备或设施的访问、操作权限的申请、审批、收回流程及操作规程。

2）硬件平台方面，须建立日常运维检查、配置管理、变更管理、性能管理等规范。明确硬件平台进行运行状态健康检查、日志检查等工作。各类硬件设备（如服务器、网络设备）配置规范，包括设备配置、端口访问控制、网络连接等，确保维护记录的完整性和正确性。建立各类硬件设备的用户管理，包括用户登记、帐号使用、操作权限等，并进行安全审计。

3）软件平台方面，应建立操作系统、数据库、中间件等平台的日常运维检查、配置管理、变更管理等规范，制定详细的数据库备份与恢复计划，定期进行恢复演练。明确定义软件平台运行状态健康检查、日志检查工作；制定包括操作系统、数据库、中间件、应用系统以及域管理、防病毒系统等系统的配置规范、帐号管理规范、日志管理规范等。

4）规范业务系统的运维过程，包括系统变更、维护、测试等管理过程，提高应用系统服务的正确性和可靠性。建立业务系统运维管理要求，明确应用系统运维职责和工作内容，包括日常性维护、适应性\改正性维护、功能性维护。建立清晰的业务系统变更流程，包括业务功能变更、业务数据更新等，有效记录变更数据，实现相关维护工作的可追溯性。

5）终端包括个人PC，应建立终端桌面的安全配置标准，建立统一的域管理，制定终端设备操作规范，提高终端运行安全。

4.4信息安全技术措施

图3描述了青岛四方信息安全必备的技术措施，本节详细介绍如何实现技术措施保障。