信息安全保障体系建设实践
2020-12-05 00:09:49白云
缔客世界 2020年5期
白云
(上海国际能源交易中心 上海 浦东 200120)
引言
近年来,网络攻击的形式逐渐隐蔽和智能化,来自窃听、信息泄露、计算机病毒、非法使用、授权侵犯等的威胁越来越多,防范和处理的难度越来越大。来自企业内部的安全威胁亦不容忽视,在经济利益驱动下的数据窃取行为,由技术人员操作导致的失误等成为新形势下的企业内部安全问题。随着云计算、大数据、虚拟化、移动互联网等新兴技术给产业带来无限机会的同时,也让信息安全变得更加复杂。因此,针对信息安全的严峻形势,企业大力探索信息安全保障体系,并结合业务特点,逐步将战略方针和远景规划与信息安全建设相融合。
1 信息安全保障体系概述
信息安全保障体系包括信息安全管理制度(Process)、安全监控机制(Operation)和安全技术框架(Technological),简称“POT”安全架构。“POT”安全架构以物理、网络、系统、应用、数据的安全保障技术为基础,以风险的全生命周期管理为主线,通过检测、分析、响应、审计和监控五个环节来建立日常运维机制,通过完善信息安全方针策略、流程及标准来建立信息安全管理体系,最终达到保障业务连续性的目标。
2 信息安全保障体系建设实践
2.1 现状调研和需求分析
通过对信息安全相关策略、程序、记录及报告的收集与检查,获得大量系统安全信息,同时对相关的信息安全文档进行评审,以判断其在安全管理方面的充分性与完备性。在采取安全保障措施之前,应明确具体的安全需求,包括信息资产范围,投入资源的力度以及预期达到的保护程度,并根据业务实际情况将安全需求分为四个来源,分别是法律法规、业务发展、风险评估以及客户需求。
2.2 风险评估与差距分析
依据基线风险评估方法,将信息系统安全等级保护标准、ISO27001、ISO20000、CMMI等信息系统管理标准以及行业信息安全管理最佳实践相结合来制定安全基线,全面开展与安全基线的差距分析工作,从物理安全、网络安全、主机安全、应用安全、数据安全等方面进行安全技术差距分析,从安全管理制度、安全管理机构、人员安全管理、系统运维建设管理等方面进行安全管理差距分析。
2.3 监控与防范信息安全事件
构建一套以IT资产为基础,以业务信息系统为核心,以用户体验为指引,从监控、审计、风险、运维四个维度进行度量的智能预警系统。为了打造更加完善的预警体系,将每日人工点检和安全预警系统相结合,通过人工检查的方式及时发现预警系统监控范围之外的问题。针对基础环境安全采取日检、周检、月度健康检查、季度定修等方式进行全方位监测,以消除安全隐患。对于重要的业务信息系统,每套系统都配备有不同的灾难应急响应预案,并定期组织预案演练,针对在演练中发现的问题进行原因定位,修改完善预案。
2.4 系统安全加固
在机房安全加固方面,一是排查隐患,对设备、机柜、器材逐个排查,特别是消防、防鼠、防水、空调等方面重点检查到位。二是建立不间断供电系统,利用UPS保证断电时仍然能够长时间正常供电。三是加强机房人员管理,除制度约束外,门禁和视频监控等物理安全策略均可有效提高机房安全水平。
在网络环境安全加固方面,各安全域之间采用防火墙进行安全隔离,确保安全域之间的数据传输符合相应的访问控制策略。在各安全域内部,根据业务类型规划和实施下一级安全子域,确保本区域内的网络安全。为了加强网络边界防护能力,在网络出口增加入侵防护、恶意代码检测过滤、web安全防护等措施,并通过带宽管理对不同业务系统分配相应带宽资源,从而为业务系统的稳定运行提供强有力支撑。
在保障主机系统安全可采取多方面措施,包括:限制用户口令的长度和复杂度,限制用户对系统资源的使用,部署安全防护系统,定期漏洞扫描,增设堡垒机对特权用户集中授权和操作审计,建立安全运营中心对日志集中存储、分析、展现和审计等,通过一系列的主机系统技术规范,将业务平台的总体安全提到更高水平。
在数据安全加固方面,设计高可靠性的数据备份方案,在主机房和备机房之间分别构建备份域,数据从主机房自动同步导入备机房备份域,实现了主备机房之间数据的无缝迁移,保证在主机房不可用时,备机房数据仍然可以保障业务正常运行。
在业务安全加固方面,企业应高度重视灾难备份体系建设,一是提升业务系统的灾备效率,进一步缩短灾备恢复时间和灾备数据损失;二是技术架构从传统的主备切换模式向双活模式转变;三是推动信息系统灾备建设与业务连续性管理策略的紧密结合,要求技术与管理、科技与业务、战略与战术相融合,真正从顶层和整体的角度来保障业务连续性。
3 总结
通过定期开展内外部风险评估,加强风险事件预警,贯彻全员信息安全理念、制定管理办法等手段,对基础环境进行全面加固,对安全管理的规范、制度、预案以及整个信息治理体系进行改进,有效地预防和控制信息科技风险,全面提升系统安全水平。未来,不论是从商业需求角度,还是产业技术角度,信息安全都将是持续研究的课题。
