摘要:随着计算机科学与现代信息技术的迅猛发展,企业信息化建设也不断深入和完善,各类信息系统在各行各业中得到了广泛的应用,各类组织对信息系统的依赖性也不断增强。然而,计算机病毒、“黑客攻击”等各种信息安全问题也接踵而至。国内外大量文献研究发现,组织因素对信息系统的安全影响重大。
本文为实现信息体系结构的安全,从多个方面考虑,介绍了信息系统安全体系结构的研究现状,对安全体系结构及标准体系进行了分析,介绍了包括安全属性、系统组成、安全策略、安全模型、安全机制五种安全要素,概述了企业信息系统安全结构组成要素概述,希望能够为指导企业安全标准体系的制定提供参考。
关键字:企业信息,安全结构,建立
一、前言
(一)课题的提出及其意义
通过适当的安全控制可以大大增加攻击者的难度,从而有效地遏制攻击企图,减少企业的损失。影响信息系统的安全影响因素涵盖了网络、操作系统、应用软件本身的安全问题。信息安全设计技术安全以及管理安全,是技术与管理的结合。因此如何确保信息系统的安全是摆在企业面前一个非常重要的问题。实施信息系统安全管理已经成为企业的一种趋势,并且能够让企业从中获得巨大收益并保持企业的发展优势。但是根据目前的研究趋势来看对信息系统安全实施管理大多还是通过技术手段来管理。然而在企业信息系统的有效运行中技术手段只是一部分,另一部分是企业的管理手段。组织实施信息系统安全管理的目的就是要在技术的基础上结合管理的手段对企业内部信息系统的安全进行全面的管理,以保证企业内部信息安全有效的运行。
企业所关注的信息系统安全,在企业员工那里实际上转换为一种交互行为。而员工是指企业(单位)中各种用工形式的人员,在本文中企业员工是只在企业相关信息部门工作的人员。生活在社会中的任何人都不是单独的个体,都时刻不断地与他人发生行为互动,从感情的交流到信息的分享。在信息社会中,人们逐步认识到行为是影响信息传递的一个重要因素。因此我们从行为学的角度来研究如何促进人员见有效信息的流动,阻止重要信息的泄漏,以保证信息系统安全高效的运行。和所有的行为一样,企业人员的行为同样会受到各种因素的影响,有有利因素的影响也有不利因素的影响。我们的目的,就是找出企业人员行为中产生积极影响的因素和消极影响的因素,管理者可以通过对这些因素的控制来促进有效信息行为的产生同时阻止破坏企业信息系统安全行为的发展。实现企业信息的有效创新,实现维持竞争优势和盈利的目的。信息系统的安全是信息系统有效运行的一个重要环节。
(二)国内外企业信息系统安全研究现状
信息系统安全是指系统保护的数据、硬件和软件,受到外界干扰或者破坏造成信息泄露、信息更改等导致信息系统无法连续正常运行。信息系统无时无在受到安全威胁,因为其本身存在来自技术环境、人文环境、和物理环境的安全风险。对于大型企业信息系统的安全而言,建立企业的信息系统安全保障体系。不能单凭利用一些集成安全技术的产品解决问题,必须将管理、技术和制度等因素综合考虑,全方位的解决系统安全存在的问题。随着信息科技的发展,企业管理信息系统安全普遍存在问题。企业的信息系统由传统的点及面,弱及强的发展方向转变。目前,企业实行计算机一体化的应用,信息系统建设的全面开展和各种业务系统的不断深入,企业的经营管理对信息系统的依赖日益加强,甚至为企业的生存发展提供保障。因此,企业信息系统安全性尤为重要,企业迫切需要解决信息系统安全问题。信息专业人员面对设备分布物理范围大、设备种类多等复杂多变的系统环境。大部分用户信息安全意识贫乏、恶意或滥用系统资源和系统性漏洞等一系列问题都严重威胁信息系统安全。因此,面对企业如何构建完善的信息系统安全体系,保障企业信息系统的安全运行是企业在信息化建设首要课题。
(三)本文主要内容
本文的研究意义主要体现在下几方面:对于企业来说,安全有效的信息流动,不仅能加快企业信息的更新,还能使企业保持竞争优势,从而获取更多利润,因此研究研究企业人员之间行为的影响因素对企业信息系统安全的作用是非常重要的,管理者们可以通过组织内对这些影响因素进行控制,通过技术的手段保证信息的安全,同时提高企业的创新性,实现企业的竞争优势和获利目的。传统的信息系统管理手段都是从计算机程序应用的角度,采用技术手段对信息系统安全进行管理,而这样的管理方式所能达到的只是从硬件上对信息系统的破坏进行防范。而大量的安全问题并没有因为计算机程序的不断升级而得到有效抑制。通过研究企业人员行为背后的影响因素,用实证手段来验证这些影响因素与行为关系。
二、企业信息系统安全结构组成要素概述
(一)安全属性
安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。在1S07498中对安全服务和安全机制的对应关系给予了描述。它的核心内容是将5大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的 8类安全机制及其相应的0SI安全管理等放置于0SI模型的7层协议中,以实现端系统信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。
(二)系统组成
系统组成描述信息系统的组成要素。 对于信息系统的组成划分,有不同的方法。 可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。本地计算环境和网络都还可以进一步划分等。 例如本地计算环境可以分为端系统、中继系统和局部通信系统。 端系统作为信息处理单元,可以继续分为应用平台和应用软件;应用平台包括操作系统、软件工程服务、分布式服务、数据管理等:应用软件中包括消息处理、web 应用等。
(三)安全策略
在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关活动的规则。 即要表明在安全范围内什么是允许的,什么是不允许的。它直体现了安全需求,也有面向不同层次、视图及原理的安全策略。 其描述内容和形式也各不相同。 对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策咯则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,井要能反射到软硬件安全组件的具体配置,如,网络操作系统的帐户策略用户权限策略和审计策略等安全策略就最终体现为发全功能的各种选项等。
(四)安全模型
安全模型用于准确描述系绞在功能和结构上的安全特性,它反映了一定的支全策略,是引导、验证安全系统开发设计的概念模型要求。 对安全策略及形式化模型的研究起源于美国军方对高安全级别的计算机系统的需求,它为计算机操作系统的安全性设计提供了理论基础。 这些安全模型通常被认为是经典安全模型。 经典安全模型主要由身份标识、认证、授权、审核等4个环节构成。经典安全模型的前提假设是:引用监视器是主体对客体进行访问的唯一路径。 身份标识与认证的机制是可靠的;审核文件和访问控制数据库本身受到充分的保护。 而这些前提在实际的信息系统中并不一定成立。因此,信息系统安全摸型的描述应反映相应层次和视图上的安全策略。
(五)安全机制
安全机制是实现信息系统安全需求及空全策略的各种措施,具体可以表现为所需要的安全白标准、安全协议、安全技术、安全单元等。 对于不同层次、不同视图及不同原理的安全系统结构,安全机制侧重点也有所不同。 例如:OSI 安全系统结构中建议采用7种安全机制。 而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。
三、企业信息系统安全结构建立策略
(一)风险评估和安全策略
分析评估应建立在调查、统计和对系统综合研究的基础上,据可执行信息网络(公即Executive Information Network)的研究,在信息系统的各类威胁中,事故和错误占55%,雇员的不忠诚和报复占25%,火灾、水灾和地震各占巧%、3%、2%。外部人侵造成的事故很难评估,要进行有效的保护需要大量的投资,而且效果也很难评估。设计错误和操作错误引起的安全问题是较易解决的投人的成本也较低。因此,企业信息系统的安全策略首先是防止企业内部员工的安全威胁,建立安全教育、安全检查、安全认证和安全审计制度;其二是要防止来自外部的威胁,设立安全防火墙,建立保密数据库,开展保密通信,实施安全监控系统;最后还要注意自然灾害特别是火灾对信息系统的威胁,建立灾害预防制度和灾害应急预案。
(二)企业信息系统技术策略
技术策略的总要求是以合理的投资贯彻企业的安全策略,保障企业信息系统的保密性、完整性和可用性。对信息资源进行授权和访问控制,对用户进行身份认证,建立具有不可否认性的审计手段。
1、信息网络系统网络结构
计算机网络的安全是企业信息系统安全保障的最关键部分,也是最困难的部分。要建立网络系统的安全体系结构。对特别重要的网段可在物理层和链路层采用数据流加密技术;在网络层可采用IP路由选择、IP加密和防火墙等安全机制;在传输层可采用基于TCP/UDP的安全机制,实现基于面向连接和无连接服务的加密/解密和安全控制机制,包括身份认证和访问控制;其他各层对代P/IP而言,均可看作是应用层,可采用更复杂的安全技术,如数字加密、用户级的身份认证、授权和访问控制技术、审计技术、入侵监测技术等等。
①网络结构
中石化集团公司计算机网络(SINOPECnet)是一个大型的复杂的广域网络系统,在满足集团公司经营管理的同时,要把网络的安全控制在目前的技术可控的范围之内。集团公司的内部网络(SINOPECIntranet)与外部网络(SINOPECExtranet)必须物理分离,待将来条件成熟后再合并为SINOPECneto集团公司各直属单位的企业内部网(SubInt拍IleO通过防火墙与SINOPECIntmllet相连。
②防火墙技术
防火墙构筑了信息系统对外防御的第一道防线,集团公司和各直属单位的公tranet与Intemet互联时,必须在Ex腼et与Intemet之间设立安全防火墙。各单位应按国家的规定逐步采用国家安全部门认可的、具有自主产权的国产防火墙产品。包括路由器、应用层网关(代理)、双宿主机(堡垒主机)均属防火墙技术产品,必须结合使用才能保证网络系统安全。但防火墙并不能完全保护内部网络,必须结合其他措施才能提高整个网络系统的安全。
③企业网管系统
网管系统是一个很好的网络安全管理工具,借助网管可以监控网络设备的工作情况,监控网络的流量和各种异常情况,及时预防网络的故障的发生。有条件的单位应建立广义的网管系统,即企业信息资源管理系统,对所有什资源(包括物理链路、网络设备、服务器、数据库、工作站、应用系统等)进行全面集中式管理。数据传输系统数据传输是实现信息共享的途径,数据传输上安全将影响信息的价值,对有价值的信息应采用加密方式传输。数据加密可采用DES标准加密方式或其他更保密、更有效的加密方式;对租用公网实现与企业内部网联网的网络必须采用VPN技术,保证网络的安全;对确需在公网上传输的数据文档,如涉及企业敏感信息,则必须采取适当的加密措施;保密的数据严禁在公网上传输。对数据传输的管理纳人公司的保密制度管理。
④访问控制技术
它允许用户对其常用的信息库进行适当权利的访问,限制他人随意删除、修改或拷贝信息文件。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的人侵。访问控制采用最小特权原则:即在给用户分配权限时,根据每个用户的任务特点使其获得完成自身任务的最低权限,不给用户赋予其工作范围之外的任何权力。系统管理员必须熟悉应用系统和数据库,对每一个进行适当的授权;同时还应注意建立对系统管理员的审计手段。
2、企业计算机系统
①计算机硬件系统
硬件系统的安全需重点考虑设备的可靠性问题,在关键设备选用时首先应考虑无故障运行时间以及对环境的要求,重要设备应安置在符合技术要求的、安全的、可控的环境之中,并且建立一套符合安全要求的运行管理制度,把硬件系统纳入信息资源的管理之中。
对关键业务所必须的硬件可采取适当的冗余措施,如交换机上的冗余引擎,服务器上的冗余电源、磁盘双工等;对工控等特别重要的场合可采用容错系统,控制和避免灾难的发生。保密系统所采用的硬件和通信线路还应防止电磁辐射。
②计算机操作系统
一般的操作系统(如:Windows NT, UNIX,Novell , Li~等)都在一定程度上具有访问控制、安全内核和系统设计等安全功能。但是为了适应更高安全环境要求,不得不设计一些专用的安全操作系统。比较常用的安全操作系统有:Honeywell公司的SCOMP系统、UCLA(洛杉矶加利福尼亚大学)的安全UNIX操作系统、IBM公司的VM/370内核化操作系统等。
作为企业用得最多的是UNIX和Windows NT操作系统,其安全漏洞时有发现,必须对系统管理员进行必要的培训,采用安全扫描技术,及时补上安全漏洞。对I,inux操作系统应给予极大的关注,支持国家自主版权的Linux操作系统的推广应用。
在一个网络系统中,操作系统的种类不宜过杂。服务器端宜采用安全性高、稳定性好、处理能力强的操作系统;客户端宜采用使用方便、资源需求少、图形化操作界面的操作系统。
③计算机软件系统
软件是信息处理系统的核心,其安全具有两重性:软件既是安全保护的对象,是安全控制的措施,同时又是危害安全的途径和手段。用软件开发一个应用系统时,将与网络、操作系统、数据库、业务逻辑等诸多元素关联,软件系统必须继承各元素的安全特性,并在软件开发过程中采用质量控制技术和安全审核制度。对委托外开发或联合开发的软件系统必须签订安全协议,谨防软件后门、逻辑炸弹或其他不安全因素的存在。对公司自主版权的软件系统还应注意知识产权的保护,维护公司的权益。
④数据库系统
数据库系统由数据库和数据库管理系统两部分组成。保证数据库的安全主要在数据库管理系统上下功夫,其安全措施在很多方面都类似于安全操作系统中所采取的措施。安全数据库的基本要求可归纳为:数据库的完整性(物理上的完整性、逻辑上的完整性和库中元素的完整性)、数据库的保密性(用户身份识别、访问控制和可审计性)、数据库的可用性(用户界面友好,在授权范围内用户可以简便地访问数据)三方面。
数据库的安全应与应用系统紧密结合,根据应用的需要提供最低的访问权限,并进行访问审计记录。对重要的数据库应有备份和冗余设施,对关键数据库应有灾难恢复异地备份。对安全要求高的数据库必须运行在安全的操作系统上,要求操作系统支持并发控制、事务管理、安全登录、数据库再启动和检查点恢复等功能。要关注分布式数据库和统计数据库的安全性。
⑤计算机病毒防治系统
计算机病毒其实是一种在计算机系统运行过程中能够实现传染和侵害的功能程序,它具有隐蔽性、衍生性、可激发性和非法性,对信息系统构成的危害非常巨大。作为企业没有必要去全面研究病毒和防治措施,但必须教育员工特别是系统维护人员养成“卫生”的工作习惯,采取有效的防治措施,把计算机病毒阻挡在信息系统之外,使病毒危害降低到最低程度。
技术上,可采用集中管理的病毒扫描系统,通过防病毒服务器对联网工作站进行免疫处理。对重要的公共服务器(如Mail服务器、文件服务器等)必须安装病毒实时扫描系统,防止病毒在网络中的传播。对独立的个人计算机也应配备必要的扫毒工具盘,保护信息资料的安全。管理上,应配套制定相应的规章制度。
(三)企业信息系统管理策略
信息系统的环境安全也不能忽视,其涵盖许多方面:
计算机机房的安全环境;
防火、防水、防生物等防灾措施;
安全供电系统和安全接地系统;
防电磁辐射;
信息设备的物理安全。
(四)企业信息系统安全结构建立
1、企业信息系统安全结构划分
(1)管理模块管理模块的主要目标是实现企业安全体系结构中所有设备和主机的安全管理。
(2)服务器模块服务器模块的主要目标是向最终用户和设备提供应用服务。
(3)核心模块核心模块将信息流尽可能快速地从一个网络传送和交换至另一网络。
(4)分布模块此模块的目标是向交换机提供分布层服务,这其中包括路由、服务质量和访问控制。数据请求流入这些交换机再传至核心,响应则以相反途径进行。
(5)边缘分布模块此模块的目标是在边缘集中来自各元素的连接,信息流从边缘模块过滤和路由并送至核心。
2、企业信息系统安全结构模块功能介绍
管理模块通过使用两种基本技术为网络中近乎所有的设备提供配置管理,这两种技术是:作为终端服务器的路由器和一个专用管理网段。路由器为企业中网络设备的控制台端口提供反向远程通信功能。而专用管理网段则提供了更广泛的管理特性(软件变更、内容升级、记录和报警集中,以及SNMP管理)。其余几个无法管理的设备和主机则通过源自管理路由器的隧道管理。
服务器模块通常会被忽略。在检查大多数员工对其所连服务器的接入水平时,服务器通常会成为内部攻击的主要目标。仅依靠有效口令不能提供全面的攻击缓解策略。使用基于主机和网络的工DS、专用WLAN、访问控制和出色的系统管理惯例(如使系统保持与最新补丁同步等)可实现对攻击的更全面响应。
分布模块提供了针对内部发起的攻击的第一道防御。访问控制可减少一个部门访问另一部门服务器上保密信息的机会。例如,包含营销和研发的网络可以将研发服务器分配到一个特定WLAN并过滤对其的访问,以确保只有研发人员能访问它。出于性能原因,重要的是,此访问控制应在能以近乎线速过滤信息流的硬件平台上实施。通过使用RFC2827过滤,同一访问控制也可防止源地址电子欺骗。
子网独立可用来向呼叫管理器及其相关网关传输IP语音(Vo1P)信息,信息穿过其他数据流穿过的网段,降低了窃听语音通信的可能性,可更平稳地实现QoS。
企业互联网模块为内部用户提供到因特网服务的连接,并为因特网用户提供了位于企业公共服务器上的信息的访问。另外,数据流还从该模块传输到VPN/远程访问模块。我们在其上设置隔离区(DMZ),把邮件服务器等放到该区,并把该区的服务器映射到外网的合法地址上以便工nternet网上用户访问。DMZ(屏蔽子网防火墙)指两个防火墙之间的网段,或是连接防火墙的“死端”的网络。主要作用减少为不信任客户提供服务而引发的危险。
PN/远程接入模块(见图5.3)的主要考虑三方面的问题:终结来自远程访问用户的VPN数据流;提供一个集中器(HUB)用于终结来自远程站点的VPN数据流;终结传统拨号用户的数据流(远程接入)。所有这些被转发到边缘分布模块的数据流来自远程企业用户,这些用户在允许通过防火墙之前需要通过一定方式的认证。
Web、应用和数据库提供保护的两对弹性防火墙,电子商务客户在收到位于工网络的DNS服务器的IP地址后启动一条到Web服务器的盯TP连接。DNS位于不同网络之上,以减少电子商务应用所需的协议数目。
至此,为企业提供了一套立体、完整的安全网络解决方案。对于企业网的规模巨大、复杂,网络体系的安全成为网络应用安全的前提和保障,在此基础上,针对用户和应用解决了系统的安全问题,满足企业网可管理性、可靠性、安全性、开放性、可缩放性的要求。
(五)案例分析
随着电力企业信息化的不断发展,信息系统的安全管理问题变得越来越重要。电力系统的安全、稳定、经济、优质地运行取决于电力企业的信息安全。对电力系统信息化的实现进程产生了重大影响。因此,对电力企业安全管理信息系统的设计开发显得尤为重要。
1、系统设计的过程
(1) .基础状况
系统设计的基础状况主要是对企业安全基础状况的动态管理的维护,从而使安全管理体系能够完整地形成。由安全管理机构、人员基础状况、安全委员会、安全管理子系统等这几部分构成。由于安全系统管理日趋复杂,但仅靠个人管理是不够的。通过会议讨论的形式来集合大多数的意见,进而设计出性能卓越的安全系统。
(2).系统总体框架
由B/S结构组成了电力企业安全管理信息系统,电力企业总部都是由服务器布置的,此系统都是由安装维修中心、供电管理中心通过浏览器进行访问的。
(3).安全检查
安全检查主要对组织的检查、对系统出现的问题进行改正以及对系统在验收阶段全面性的流程进行管理;从而使企业各类安全检查的实现。安全的隐患管理,如排查、分级、确认、跟踪、验收等,对企业都要实现流程化管理并经常性地进行动态监察。系统的障碍事故管理,如电力企业系统设备出现异常、障碍等,从而使企业的安全事故得以维护和管理。
(4)系统预算方面的考虑
客户对安全系统的设计,都是事先预算好的,他们都是在自己所承受的资金范围内进行考虑,以便更好地控制一些不必要的花费,更多的用户觉得安全系统是一种奢侈的东西,可想而知,人们对它的重视程度还远远不够,所以,对安全系统设计的费用问题会特别的考虑。他们对资金的消耗在预期内能够准确地估计好,才能使安全人员可以妥善地安排好,但是要在客户规定的资金数额内,不能超出他们所承受的数额,一般来说,这几方面的因素来决定资金数额的多少。如生产设备的损失、盗窃设备、故意以及恶意的破坏的损失、发生火灾造成的损失、一些商业间谍、不法犯罪分子对系统的破坏的损失、未达到预期目标造成的损失等等。客户一旦准确地估计好预算,安全人员以及工程人员都要严格遵守。一般情况下,如果没有一些地方疏忽,基本上不会偏离这个数目。
(5).可行性设计
电力企业的领导可以要求安全人员提供一份可行性设计的计划。此计划应该由以下几个部分构成,如实行安全系统地电力企业能否与安全公司、警察部门、消防部门友好沟通;提前预测好风险类型,并用合理的保护方法对每个风险区域进行保护。但对电力企业安全系统的安装、替换、维护以及安全操作所需的经费是否都列入预算中。
(6)设计的进展
在设计过程中,设计人员要对电力企业安全管理信息系统的每一个细节都要了如指掌,并对它的安全实现得以保证。但与当地有关重要部门要多加沟通,这样才能使安全管理信息系统得以实现,这样也能够使安全系统更好地设计出来。
2、系统实现
这些年,高危生产企业的涌入,如国内国有煤矿、化工等都需要应用安全管理系统。由于大多数企业的软件系统都是独立的,各个系统都得不到充分的利用以及数据信息都得不到共享。电力安全管理都是由其他管理系统来支撑的。所以,造成多个系统重复的运行以及重复地建设,都达不到硬件资源和管理资源整合地高度效果,从而使电力企业的安全管理系统存在一定的局限性,安全管理状况无法被掌控。目前,我国的工业正处在加速发展阶段,高危行业领域的基数非常大,发展不平衡的企业都存在一些安全生产的问题,都非常地薄弱。现代生产条件安全管理的建立,都是运用创新监督地管理方式来引导企业的安全管理工作,并快速、准确地获取信息用安全工程技术和现代信息技术来体现,从而使企业的工作效率和自动化监督管理水平能够进一步地提高;这样对安全管理信息系统的全面建立是具有一定地必要性。电力企业以及下属一些分公司全面监督安全和安全动态管理全方位地实现都是电力企业安全管理信息系统实现的重要目标,电力企业全面的安全管理和过程动态监控的实现都是由公司建设来覆盖的,它也是二级单位宽带网络承载系统进行安全管理的目标。这样使安全管理的实效和电力企业的管理效能能够进一步地提高。
系统都是采用面向编程的思想方法进行的,这些都是系统的核心部分。这些都对安全管理系统程序的通用性、扩展性等造成直接的影响。如基础类、基础聚类、基础条目类、基础条目聚类都是系统的基类;这些都是系统中最基本的元素。基础聚集类是一组基础类,它都是由保存和读取组成的。数据读取、特定对象读取、备份库读取等等这些都是读取的三个方法。保存通常由单个对象保存和数据库保存等。基础条目类都是由一些序号、类型、数量、对象等三个属性组成。其中,安全管理信息系统的序号都是用来对系统进行排序的,数量都是由所属的对象含盖了一些对象的个数构成的。基础条目类都是由增加条目、删除条目、查找条目等三个方法组成的。如浙江省宁波市电力局2005年使用这个单机版系统,在使用过程中,使工作人员的工作任务能够极大地简化,又大大地减轻了工作人员的劳动强度。安全管理系统从网络版中逐步扩展起来了,这种安全信息系统从网络版逐步地改进为单机版,虽然一些安全管理信息系统的功能无法更好地完善,但基本上可以满足当前的需要,这样才能使安全管理的流程化能够更好地体现。
3、结论
随着电力企业信息网络的发展,安全管理信息的系统也进一步地实现,并深入到电力企业中,从而使电力企业具有一定的信赖性。电力企业安全管理信息系统地建立,才能充分地保证了电力企业信息网络能够安全正常地运行,这样才能使电力企业安全信息能够得以保证。
四、全文总结以及自我见解
企业信息系统安全体系结构的研究是一项复杂的系统工程,本文从技术角度对目前国内外安全体系结构和安全标准体系的研究进行了一些分析,通过分析和研究对整个安全体系结构的认识进一步加深和清晰化,提出了企业信息安全体系结构和体系的模型。要使企业信息系统安全体系结构满足适合需求、全面、准确、可行的要求,同时要适应信息技术及其安全技术的飞速发展,需要进行持续、深入地研究。从安全属性、系统组成、安全策略、安全模型、安全机制五种安全要素分析了设计、实施、配置和操作漏洞与组织因素之间的因果关系和影响路径,并对组织因素的重要度进行了分析,得出由于一些条件的限制,所研究的信息安全漏洞的组织因素影响路径不能涵盖全部,而且,随着信息系统的开发方式及其组织环境的变化,组织因素可能以不同的方式引起系统安全漏洞,就会出现新的影响路径。这些都还待发现和完善。
我觉得我国应该加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。还应加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。
参考文献
[1]刘绘珍,张力,张玉玲,等.影响系统安全的组织因素分类分析[J].核动力土程2009, 30(4): 59-63.
[2]高佳旭,毛家鑫.基于IS M的企业信息安全影响因素分级研究[J].中国管理信息化2011,14(21): 43-45.
[3]李艺,李新明,姜湘岗.基于Unix/Linux系统的软件脆弱性分类法[J].计算机土程,2005, 31(6): 4-6.
[4]宋洪涛,张力,王以群等.用层次分析法分析核电站中影响人误的组织因素[J].中国安全科学学报,2007, 17(5): 32-37.
[5]徐晓敏.层次分析法的运用[J].统计与决策,2008, (1): 156-158.
[6]王以群,张力,李鹏程.网络信息安全分析视角一一人因失误分析[J].图书情报土作,2007, 51(2): 79-82.
[7]张延芝,王以群,李军舰.网络信息安全人因失误行为类型分析[J].情报杂志.2008(6): 112-133.
[8]高咏,袁杰.图书馆网络信息安全中的人因失误[J].中国医学图书情报杂志2008,17(4): 54-56.
