【事件描述】A单位从2005年开始建设内部信息系统,至2008年基本建设完成,2009年通过国家测评,并取得《使用许可证》。系统主要业务应用包括办公自动化、财务、人事、物资、项目管理、档案等管理信息系统。该系统正式运行几年来,有效地防范了各类涉及信息安全风险事件的发生,确保了A单位的信息安全。
随着A单位信息化程度的提高,信息系统越来越复杂,在业务运作的过程中生成了大量的数据,各种业务的开展对信息的依赖程度也越来越大,信息安全管理成了A单位风险管理的重要组成部分。
【案例分析】A单位内部信息系统依据内部信息系统分级保护要求进行风险分析,主要分为风险(脆弱性)分析、威胁分析,风险识别与确定等内容。其中,A单位所面临的信息安全风险主要包括技术风险和管理风险两方面。
技术风险:技术风险可从物理层、网络层、系统层、应用层几个层面进行分析:物理层安全应考虑到环境安全和设备、设施安全;网络层安全风险主要包括网络传输数据风险、连接互联网风险、互连设备的安全隐患等;系统层风险主要包括访问控制脆弱性、病毒攻击、网络共享服务、非法外联、存储信息丢失等内容;应用层安全风险主要包括应用系统的自身脆弱性、访问控制风险、数据库安全风险等。
管理风险:安全保密管理在内部系统的风险防范中占有非常重要的地位,即使有了较完善的安全保密措施,如果管理的力度不够,依然存在很大的安全隐患。因此应针对安全保密管理进行风险分析,并提供安全保密管理的具体措施。
【警示与建议】随着网络环境的日益恶化以及企业自身的发展伴随着越来越多的商业泄密事件的发生,信息安全问题逐渐被提上议事日程。要保证企业信息安全,就必须找出存在信息安全问题的根源,并具有良好的安全管理策略。A单位在此方面采取的措施,可以为其他单位防范信息风险提供良好的借鉴。
1.信息系统风险评估是信息系统安全的基础和前提。如何保障信息安全是信息系统发展所面临的关键问题。对于所涉及的安全问题,任何单一层次上的安全措施都不可能提供真正意义上的全方位的安全,应该站在系统工程的角度来考虑。在这项系统工程中,信息系统安全风险评估占有重要的地位,它是A单位信息系统安全的基础和前提。
2.风险分析应充分结合分级保护测评标准。为规范内部信息系统分级保护,国家颁布了有关文件和指南,涵盖了内部信息系统风险分析所需绝大多数的技术和管理要点,在风险分析中可作为脆弱性与威胁分析的主体框架。A单位对内部信息系统的风险分析采用了自评估、委托评估以及外聘专家等方式,在实现了既定目标的同时,又培养和锻炼了企业运维管理队伍。
3.通过风险分析完善安全策略动态闭环结构。企业信息安全的核心问题是安全策略问题,安全策略的制定是一个动态的逐步完善和修改的过程,通过风险分析手段对内部信息系统进行安全评估是整个安全策略动态闭环结构中的重要环节,其核心意义在于发现问题并应对,能够帮助企业动态地调整和完善安全策略,以达到提高信息安全水平的目的。
4.加强内部信息系统的管理风险分析与评估。内部信息系统的运维管理,在具备了基本的安全设备与技术手段的同时,应针对管理进行充分的风险分析,将管理制度落到实处,从在现阶段来看,其已经成为阻碍内部信息系统良性运行的重点风险。针对安全保密管理制度的落实,A院采用信息化手段,自主研发了保密管理信息系统,将系统资产,审批流程,维修保障,审计策略等与管理相关的各类制度信息化,流程化,有效保证了管理制度的落实。