信息安全是一個龐大的概念�,同時信息安全管理也是企業(yè)和IT管理的一項重要活動。蘇州iso27001認證標準致力于控制信息的供應并且防止未經(jīng)授權(quán)的使用�����。所有的安全措施最主要的目標是要保護信息的價值��,這種價值取決于保密性���、完整性和可用性三個重大方面�。信息安全管理實際上是由計劃�����、實施���、檢查到改進多組成的無限循環(huán)���。
從早期的網(wǎng)絡(luò)訪問控制到各種漏洞的封堵�、從員工行為管理到桌面管理�����、從單純的透明加密到融審計��、監(jiān)控����、加密于一體的整體信息防泄漏,信息防泄漏走過了由技術(shù)到產(chǎn)品�����、由產(chǎn)品到方案�����、由方案到體系的發(fā)展之路�。整體信息防泄漏的理念已經(jīng)被眾多企業(yè)所認可,在信息建設(shè)中��,如何防止信息泄露���,同時實現(xiàn)“安全�����、效率�、成本”三者最優(yōu)平衡����,成為企業(yè)考慮的首要問題。為了給企業(yè)提供全面�����、整體的防泄漏體系���,實現(xiàn)“安全��、效率��、成本”三者的最優(yōu)平衡��,中軟信泰在總結(jié)逾10年過萬家客戶的服務經(jīng)驗基礎(chǔ)上�����,最早提出以“整體信息防泄漏”理念為核心的“EISS信息防泄漏三重保護解決方案”:即企業(yè)進行防泄密建設(shè)�,應從全局的視角出發(fā),對安全問題進行統(tǒng)籌規(guī)劃�、統(tǒng)一管理,整合運用審計��、權(quán)限管理���、透明加密等防泄密功能���,根據(jù)涉密程度的輕重,部署力度輕重不一的防護��,有的放矢��,在內(nèi)部構(gòu)建起全面�、立體化的整體體系。
“棱鏡門”曝光后我國政府對信息安全的重視度迅速提高�,在制度、法規(guī)等各個層面強化信息安全要求:制度上����,國家網(wǎng)絡(luò)安全和信息化小組成立,信息安全被拔高到了國家戰(zhàn)略層面�����;法規(guī)上,各類政策密集出臺����,特別是2016年11月《中華人民共和國網(wǎng)絡(luò)安全法》獲得通過����,加大對企業(yè)信息安全的合規(guī)要求;(2)IDC預測2019年全國信息安全市場的總需求將由2014年的22.40億美元增長至48.22億美元�����,CAGR為16.6%��。
云計算模式下的安全模型與傳統(tǒng)的安全模型存在巨大差異��,為信息安全廠商帶來新的需求����。
信息資產(chǎn)安全防護:
信息資產(chǎn)安全是防止信息資產(chǎn)被故意的或偶然的非授權(quán)泄露、更改���、破壞或使信息被非法的系統(tǒng)辨識��、控制�����,即確保信息的完整性���、可用性�����、保密性和可控性�。信息資產(chǎn)包括文件��、數(shù)據(jù)等���。信息資產(chǎn)安全包括操作系統(tǒng)安全���、數(shù)據(jù)庫安全、網(wǎng)絡(luò)安全���、病毒防護�、訪問控制���、加密����、鑒別等。
信息資產(chǎn)的安全是企業(yè)信息安全的核心問題����,信息資產(chǎn)作為企業(yè)的無形資產(chǎn),其價格無可估量��。有些信息還可能決定企業(yè)的生死存亡�����,所以信息資產(chǎn)的安全防護是信息技術(shù)部工作的重中之重�����。結(jié)合集團現(xiàn)行的信息管理方式�,根本沒有任何的信息資產(chǎn)安全防護手段��,比如財務服務器由財務人員自行管理��,一個人就可以操作財務服務器��,而且服務器都開通了遠程桌面功能,有管理員的賬號�����、密碼就可以隨時在集團任何一臺計算上登錄服務器進行的操作���,這是相當致命的�,我們只能奢求操作人是可以信任的��,否則后果真是不敢想象���。
出于以上考慮信息技術(shù)部建議從以下幾點進行改進:
1�����、財務服務器應共由信息技術(shù)部與財務中心共同管理��,服務器的登錄密碼由信息技術(shù)部掌握��,金蝶軟件的高級密碼由財務中心掌握����,當需要操作財務服務器時�����,應該有財務中心總經(jīng)理的審批手續(xù)方能操作服務器,信息技術(shù)部人員在見到財務中心總經(jīng)理的審批手續(xù)后方可與財務中心授權(quán)人共同進行機房操作服務器����,同時應該記錄服務器操作日志,記錄操作過程�,同時所有財務服務器操作人員與信息技術(shù)部人員都需要簽訂保密協(xié)議。
2��、財務服務器必須放置在機房并且具備上鎖功能的機柜里�,同時關(guān)閉財務服務器的遠程桌面功能,每次的操作都需要審批后才能執(zhí)行�。
3、每季度對服務器的密碼進行更換(包括服務器登陸密碼及金蝶高級管理密碼)��,并由信息技術(shù)部監(jiān)督修改過程��。
4���、每周對服務器數(shù)據(jù)進行備份操作,并做好數(shù)據(jù)備份登記工作���,每季度對所備份數(shù)據(jù)進行恢復性測試���,保證備份數(shù)據(jù)完整性���。同時要進行必要的重要數(shù)據(jù)異地備份,強化數(shù)據(jù)的容災能力����。
5、每周對服務器進行一次升級�、更新、殺毒操作�����,保障服務器不被病毒感染����,以起到病毒防護的目的。
信息安全管理的制度化是整個網(wǎng)絡(luò)管理信息系統(tǒng)安全的重要保障�����。嚴格的安全管理制度��、合理的人員配置和明確的安全職責劃分可以在很大程度上降低其他層次的安全風險��。管理層安全包括設(shè)備安全的管理、安全管理制度的制定與貫徹落實���、部門與人員的組織規(guī)則����、風險評估�、安全性評價等。
