企业信息安全标准制度体系研究-电力信息与通信技术.PDF

ELECTRIC POWER ICT 中图分类号：TP309　　文献标志码：B　　文章编号：2095-641X(2015)08-0119-05 企业信息安全标准制度体系研究 王雪飞 （国网安徽省 电力公 司 电力科学研究院 ，安徽 合肥 23060 1 ） 摘要：为提升企业整体信息安全管理水平 ，文章对 已公布的信息系统漏洞数据进行研究 ，分析企业安 全防护体 系所存在 的薄弱点。通过收集漏洞数据 ，对漏洞产生阶段、所属 防护层面、风险等级等关键 信息进行分类汇总 ，发现企业信息系统漏洞分布特点 ，进而分析漏洞产 生原 因。结合企业信息安全 管理制度及标准规范 ，从信息系统全生命周期安全管控的角度 ，对企业安全防护体 系提 出安全建议。 关键词：信息安全管理；漏洞分析；安全防护体 系 完善信息安全管理体系，提升信息安全防护水平。 0　引言 安 全 1　漏洞数据分析 乌云网（www.wooyun .org ）是一个位于厂商和 防 安全研究者之间的安全问题报告及处理平台。截至 1.1　漏洞数据说明 护 20 13 年年底已有4 000 多名注册用户，约500 个厂 在汇总分析前，对此次分析对象，即乌云网公布 家通过乌云网与白帽子就网站存在的安全问题进行 的某企业20 13 年漏洞数据进行如下的调整和修改。 合作。乌云网所发布的漏洞记录范围不仅涉及联想、 1 ）调整漏洞分类：网站定义的7 种漏洞类型在 腾讯、支付宝等著名互联网企业，也包括海关、税务 本文中被精简为操作系统、数据库、中间件和应用 等各类政府部门网站，汇集了大量的安全实例和资 4 个防护层面漏洞类型。 料。腾讯公司在其20 12 年度“漏洞奖励计划”工作 2 ）增加漏洞产生阶段：以系统上线时间点，将漏 报告中，将乌云网提供的安全漏洞作为重要的非官 洞产生阶段划分为研发阶段和运维阶段，研发阶段 方报告漏洞渠道；乌云网爆出的安全漏洞也屡屡成 包括系统需求分析、系统设计及编码测试阶段；运维 为媒体热点，说明白帽子的信息安全研究成果已经 阶段则为系统上线后的运行维护阶段。 成为互联网企业和用户关注的热点。 3 ）修改漏洞风险等级：本文根据参考资料 [1] 中 本文以乌云网20 13 年度公布的具有代表性的 漏洞风险等级定义，重新评定选取漏洞的风险等级。 某企业信息系统安全漏洞记录为研究对象，以期达 1.2　漏洞分布情况 到以下目的。 通过分析发现该企业信息系统漏洞分布有以下 1 ）从外部信息安全研究者的角度分析企业信息 特点。 安全防护现状，通过对漏洞的类型、产生阶段等数据 1 ）漏洞主要集中在应用和中间件层面。属于 进行汇总，分析信息系统漏洞产生的阶段以及原因， 应用和中间件层面的漏洞数量之和占总漏洞数量的 进而分析企业安全防护体系中存在的弱点。 92 .85% ，操作系统、数据库层面的漏洞之和仅占总数