信息化建设解元决方案之信息安全篇.docxVIP

帮助用户实现IT投资价值最大化 信息化建设解决方案之信息安全篇 【导读】随着信息安全事 件的不断发生，信息安全的重要性呈指数增长的趋势。过去几年来，网站被黑客攻击、拒绝服务攻击增多、信用卡信息被盗等事件日益复杂，病毒和蠕虫所造成的损失不可估量。面对如此严峻的信息安全形势，许多单位投入大量资金购买安全设备、系统软件和系统服务来应对，但是，往往得不到预期的风险管理的效果。 实际上，解决信息安全问题的根本措施是需要结合企业网络和业务实际，通过正确的方法，建立一套适合企业的信息安全体系，并在企业中持续的运行、改进。以下将为企业在信息化建设过程中，如何更好的应对信息安全问题提供一些思路和方法。 1、信息安全建设遇到的问题 1.1 信息安全建设常见问题 随着信息化的快速发展，信息安全事件也越来越多。信息安全已经成为每个信息化建设者为之头疼的问题：， （1）信息安全投资越来越多，信息安全问题也越来越多。单位每年投入大量资金进行安全建设，买了很多信息安全设备，结果每年还是会遇到很多信息安全问题。领导批评，员工抱怨，信息中心主任也不知如何是好。 （2）安全管理制度形同虚设。单位在管理方面下了很大功夫，制定了制度，但是安全管理制度就像一阵风，风吹时很猛，但吹过了，也就完了，业务人员根本不拿制度当回事，有的认为制度本身就是形式，这种现象能改变吗？ （3）维护人员疲于奔命。单位虽完成了信息安全建设工作，但是信息化业务系统的可靠性及需求不断增长，让安全维护人员疲于奔命，对于突发事件无法做出迅速响应，消耗大量人员成本，工作做得也并不理想，信息中心领导对这种“救火式”安全维护无可奈何。同时，导致IT运维成本不但居高不下,且有明显的逐年增加的趋势，IT运维一时成为可有可无的鸡肋，投入大量资金购买的设备，也快成为摆设。 1.2 信息安全建设问题分析 从问题的表象来分析，产生现象的根源如下： （1）缺乏系统的安全体系。很多企业，甚至大型知名企业，上了很多技术和产品，但安全管理跟不上，技术和产品未能发挥应有的作用；重视信息安全工程建设，但建设后的运维工作跟不上，信息安全隐患不能及时排查、整改，信息安全问题还是层出不穷；重视对外部信息安全风险等防范，疏忽了 对内部风险的控制，安全体系不全面，存在短板。根源在于这些企业都存在着一个普遍的问题：信息安全目标体系不清晰，整体的安全体系架构不系统，相关的管理跟不上。如设备上线了，运行很久了，还存在着很多默认配置、设备的相关策略不完备、长时间不评审不更新、离职人员帐户仍然存在、制度不执行或执行不到位、不彻底。这些问题不能很好地解决，即使有再好的产品、技术或标准，企业的信息安全管理水平也很难从根本上有所提高，上再好的产品、技术和标准最多是升级一下IT救火队的装备水平。 （2）对信息安全风险缺乏及时的评估、预警和控制。信息化项目建设完成后，用户往往认为已经采取了相应的信息安全保护措施，可以一劳永逸，因此在信息系统的日常运维中忽略了对信息系统安全风险的及时评估、预警和控制。风险是一个动态的过程，信息安全也是一个动态的过程，产品技术标准不断发展和完善，信息安全威胁也是不断地升级换代，随着企业信息化程度的进一步加深，企业核心业务对IT依赖度的进一步加强，信息安全问题会相对越来越多，这是一个不可扭转的趋势和现实，所以信息安全的风险不断在变化。缺乏评估、预警措施，不能及时识别信息安全风险，也就不能控制风险，从而带来隐患。 （3）安全运维工作不重视。在很多单位都出现过网站被黑客攻击，主页被篡改，服务器无法对外提供服务的情况。导致业务中断，单位的声誉受损，广告投放单位要求索赔等。出现这种情况的原因，往往是因为缺少对网站的安全保护监控，没有一套合理的流程去防止安全事件的发生。在出现安全事件后，信息中心的人员又不知道该如何处置。到处打电话找人，经过很大的弯子才能够解决问题。这就是日常的安全工作中，缺少应急方案的制定与演练。导致在真正出现问题时，不知该从何下手，如何解决问题。IT部门应当从信息安全的角度出发，为公司制定一个合理的工作流程，管理部门应当制定信息安全运维的框架，并指派专人负责完善运维体系。 针对以上问题，建议企业在进行信息安全建设时，首先明确信息安全方针，设计信息安全策略，在此指导下构建信息安全管理体系、技术体系、运维体系。 2、正确的信息安全建设之道 企业在进行信息安全建设时，应从企业整体IT规划的角度出发，将信息安全工作纳入IT部门一项重要的工作去从整体上进行规划。建立信息安全方针，确定信息安全策略，构建信息安全管理体系、技术体系和运维体系，并在实际工作中不断完善。如图1所示。 图1 信息安全体系建设图 信息安全规划是以组织信息化战略规划为指导，以组织的信息资源规划为基础，确定信息系统的安全框架、管理模式与建设步骤。企业在信息安全规