科技企业信息安全管理分析.docx
《科技企业信息安全管理分析.docx》由会员分享,可在线阅读,更多相关《科技企业信息安全管理分析.docx(28页珍藏版)》请在冰豆网上搜索。
科技企业信息安全管理分析
科技企业信息安全管理分析
摘要
企业信息安全管理的本质是风险管理,安全和风险是密不可分的。
因此从风险管理的角度研究企业的信息安全,可以了解风险的来源,降低企业的安全风险,预防信息安全事件的发生并减少信息安全事件的损失。
本文在对信息安全和风险管理理论进行研究的基础上,采用了理论和实际相结合的方法,深入分析了晨讯科技集团所面临的诸多信息安全问题与隐患,通过对晨讯科技集团信息安全问题的调查研究,了解晨讯科技集团的信息安全现状、晨讯科技集团所面临的信息安全风险。
在总结分析研究结果的基础上,分别从晨讯科技集团内、外部环境管理和晨讯科技集团面临的技术类安全风险、管理类安全风险等方面提出基于风险管理的信息安全策略。
关键词:
信息安全,安全风险,风险管理,信息安全策略
Abstract
Enterpriseinformationsecuritymanagementistheessenceofriskmanagement,safetyandriskareinseparable.Therefore,fromtheperspectiveofriskmanagementofenterpriseinformationsecurity,canunderstandthesourcesofrisk,reducebusinessrisk,preventionofinformationsecurityincidentsandtoreducethelossofinformationsecurityevent.Inthispaper,informationsecurityandriskmanagementtheoryonthebasisofthestudy,usingacombinationoftheoreticalandpracticalapproach,in-depthanalysisofSIMtechnologygroupfacesanumberofinformationsecurityproblemsandhiddendangers,theSIMtechnologygroupinformationsecurityprobleminvestigationandstudy,understandtechnologygroup,thesecuritystatusofinformationtechnologythegroupisfacedwiththeriskofinformationsecurity.Aftersummarizingtheanalysisbasedontheresultsofastudy,separatelyfromtheSIMtechnologygroupinside,externalenvironmentmanagementandtechnologygroupfacesthetechnicalrisk,managementrisk,basedontheriskmanagementofinformationsecuritystrategy.
Keywords:
Informationsecurity,Securityrisk,Riskmanagement,Informationsecuritystrategy
目录
摘要I
AbstractII
1.绪论1
1.1研究的背景及问题的提出1
1.2研究目的和意义1
1.2.1研究目的1
1.2.2研究意义2
1.3研究方法和思路2
2.文献综述3
2.1信息安全概述3
2.1.1信息的定义3
2.1.2信息安全的概念3
2.1.3信息安全的目标4
2.2风险管理概述4
2.2.1风险的概念及分类4
2.2.2信息安全风险的概念4
2.2.3风险管理的概念及过程5
3.晨讯科技集团的信息安全风险现状分析7
3.1晨讯科技集团简介7
3.2晨讯科技集团信息管理现状8
3.3晨讯科技集团面临的主要信息安全风险8
3.3.1晨讯科技集团信息安全风险对信息安全的威胁9
3.3.2晨讯科技集团面临的主要信息安全风险9
3.3.3晨讯科技集团信息安全风险的特征11
3.3.4晨讯科技集团信息安全风险产生的原因分析11
4.基于风险管理的晨讯科技集团信息安全策略13
4.1局域网计算机技术管理方案13
4.1.1办公计算机信息安全管理13
4.1.2信息人员要求和培训教育工作14
4.1.3涉密文件要求14
4.2互联网计算机技术管理方案15
4.2.1技术措施15
4.2.2管理措施15
4.3保密制度建立15
4.4晨讯科技集团人员保障措施16
4.4.1组织保障措施16
4.4.2考核奖惩制度16
4.4.3培训教育措施17
结束语18
参考文献19
致谢20
附件1:
开题报告
附件2:
文献翻译(中、英文)
1.绪论
1.1研究的背景及问题的提出
20世纪90年代以来,随着经济全球化的浪潮,全球信息化程度不断提高,人们的生产、生活也发生了巨大的变化。
进入21世纪,企业信息化程度也随之提高,经济的飞速发展与信息化管理手段的运用已密不可分。
近年来信息安全问题越来越受到人们的重视,信息安全不仅涉及国家、政府、部门等领域,对于企业和个人来说也是不容忽视的问题。
信息的有效保护和利用对于企业的经营和发展起着至关重要的作用,它甚至可以影响一个企业的存亡。
信息安全问题随着互联网的普及和企业信息化的提高呈现出越来越严重的趋势。
这是由于现代企业之间以及企业内部各部门之间的信息传递越来越频繁,扩大了企业与外界交流的渠道,增加了其未知性和风险性。
企业面临的诸多安全风险容易造成信息的外泄,给公司的正常运营带来安全隐患并造成损失。
企业信息安全的本质是风险管理,所以从风险管理角度研究企业的信息安全,可以了解企业面临的信息安全风险类型及其根源,降低企业的安全风险,预防信息安全事件的发生并减少企业的损失。
在当今全球一体化的商业环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。
许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为企业管理越来越关键的一部分。
企业管理高层需要确保信息技术适应企业战略,企业战略也恰当利用信息技术的优势。
晨讯科技集团(以下简称“SIM”)是国内领先的移动通信企业,以手机、移动手持终端、无线通讯模块解决方案为主营业务,连续多年在手机设计行业排名第一。
随着计算机技术的普及,黑客技术、病毒等不安全因素越来越频繁的出现,造成业务系统主机响应缓慢,黑客入侵,以及内部人员操作不善,影响信息系统的正常服务,也对研发数据保密性完整性和可用性造成一定威胁,建立一套完善的信息安全管理体系日渐重要。
晨讯科技集团其IT部门支持集团业务的发展多年,IT规模快速扩张。
鉴于集团是知识产权型企业,信息安全工作是重中之重,IT部门平时亦在此上投入了大量资源,但存在以下困惑:
目前集团信息安全水准如何?
现有资源投入是否足够、是否合理?
业界有哪些信息安全好的经验及最佳实践可以借鉴?
如何改进和提高?
1.2研究目的和意义
1.2.1研究目的
通过对晨讯科技集团IT系统的信息安全管理的实际情况进行调研,并采用科学的方法进行分析与评估,对晨讯科技集团信息安全实际情况有客观、准确、清晰的认识;通过与晨讯科技集团IT管理人员的沟通,并对其安全需求进行分析与研究,整理出清晰明确的、量化的、在一定时限内可实现的相关目标;通过分析与研究,并结合相关国内国际最新理论、理念、最佳实践,提出一套完整的、实现其目标的、可行的方法。
使其建立适合其自身的、并可以不断自我优化的信息安全管理体系。
1.2.2研究意义
(1)通过对晨讯科技集团IT系统的信息安全管理的实际情况进行调研,并采用科学的方法进行分析与评估,帮助晨讯科技集团对信息安全实际情况有客观、准确、清晰的认识;
(2)通过与晨讯科技集团IT管理人员的积极沟通,并对其安全需求进行分析与研究,帮助其整理出其想达到的清晰明确的、量化的、在一定时限内可实现的相关目标;
(3)通过分析与研究,结合服务范围内相关国内国际最新理论、理念、最佳实践,帮助晨讯科技集团设计一套完整的、实现其目标的、可行的方法。
(4)帮助晨讯科技集团建立适合其自身的、并可以不断自我优化的信息安全管理体系。
1.3研究方法和思路
本文在充分利用现有的文献资料和进行案例分析的基础上,对企业信息安全进行了系统的研究。
通过理论归纳法论述信息安全和风险管理的相关理论,采用了理论和实际相结合的方法,深入分析了现今企业所面临的诸多信息安全问题与隐患,通过对企业信息安全问题的调查研究,了解企业的信息安全现状、企业面临的信息安全风险。
强调了在企业信息安全管理中引入风险管理的必要性和重要性。
在总结分析研究结果的基础上,分别从企业内、外部环境管理和企业面临的技术类安全风险、管理类安全风险等方面提出基于风险管理的信息安全策略。
本文的研究方法是理论结合实际。
首先通过对晨讯科技集团的现状进行了解,并对晨讯科技集团面临的具体问题进行了分析,然后找出了晨讯科技集团在信息安全项目管理上存在的缺陷和处理的方法,其次查找了信息安全管理的相关理论,对理论进行了整理和辨析,并且分析了国外和国内对理论的应用回顾。
再次,本文对晨讯科技集团信息安全的具体实施进行了分析指导。
最后本文把理论与实践相结合,对晨讯科技集团信息安全管理的未来发展给出了建议。
本文的研究思路是提出问题---分析问题---解决问题。
2.文献综述
2.1信息安全概述
2.1.1信息的定义
在ISO/IEC17799中,对信息的定义是:
“信息是一种资产,像重要的业务资产一样对组织具有价值,因此需要妥善保护。
[1]”
在ISO/IECIT安全管理指南(GMITS)中对信息的定义是:
信息是通过施加于数据的某些约定,当前赋予这些数据的特定含义。
陈慧勤认为,信息本身是无形的,通过借助信息媒体以多种形式存在,有的存储在计算机里,有的保存在磁带或者光盘里,有的被摄制在微缩胶卷里,有的记忆在人的大脑里,有的通过网络传送,有的打印或者记录在纸上,有的由传真发送传输。
这些信息通过不同的交谈方式来表达或者通过不同的设备显示出来。
[2]
从以上资料来看对于信息的定义目前也没有十分明确的界定,各组织对于信息研究的侧重点不同,因此对信息的定义也侧重于不同角度。
对于企业来说,信息就是储存于电脑、人脑或以其他形式存在的资料。
信息资产则不仅包括与计算机相关的各种数据资料还有对企业有重要作用的有形和无形资产,比如企业的知识产权、专利技术、商业机密、关键人员等。
2.1.2信息安全的概念
信息安全是一个比较广泛抽象的概念。
目前国际标准化组织(ISO)对信息安全的静态定义:
“为数据处理系统建立和采用技术上和管理上的安全保护,保护计算机硬件、数据不因偶然和恶意的原因而遭到破坏、更改和泄漏。
”[3]但是此定义只考虑了静态信息保护,而没有考虑网络因素。
信息安全的动态定义增加了对信息系统能够连续正常工作的要求。
美国国家安全电信和信息系统安全委员会提出,信息安全是指对信息、系统及使用、存储和传输信息的硬件保护。
同时,相关的政策、人事、培训、教育和技术等手段也是十分必要的。
而ISO/IEC27002对信息安全的描述:
信息安全保护信息免受多种威胁的攻击,保证业务的持续性,将业务损失降到最少,并最大限度地获取商业投资回报和利用商业机会。
[4]欧共体对信息安全的定义则是:
网络与信息安全可被理解为在既定的密级条件下,网络与信息系统抵御意外事件或恶意行为的能力。
这些事件和行为将危及所存储或传输数据以及经由这些网络和系统所提供的服务的可用性、真实性、完整性和秘密性。
我国在信息安全管理领域起步较晚,在借鉴国外研究的基础上给出的信息安全相关定义是:
“保障计算机及其相关的配套设备、设施(网络)的安全,运行环境的安全,保障信息安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全。
”[5]
刘丽然,苏城等人普遍认为对信息安全的认识经历了从强调信息保密的通信保密时代,到强调信息的完整性、可靠性、可用性的信息安全时代,而如今则是更多的强调不能被动地保护,还要包括保护—检测—反应—恢复四个环节的信息安全保障时代。
[6]
从以上各国和组织对信息安全的定义来看,目前信息安全还没有一个公认、统一的概念。
从企业信息安全角度来看,比较被认可的是ISO/IEC27002中对信息安全的定义,即信息安全是保护信息免受多种威胁的攻击,保证业务的持续性,将业务损失降到最少,并最大限度地获取商业投资回报和利用商业机会。
企业的信息安全不能局限于计算机网络本身的安全,应该更多的从企业内部管理来保障信息安全。
2.1.3信息安全的目标
信息安全的目标主要有以下五个方面:
保密性(Confidentiality)是指阻止非授权的用户获取信息。
它是信息安全固有的特性,也是信息安全主要的研究内容之一。
对信息安全的保密性是信息安全最基本的原则,保证信息不被非法使用、篡改和窃取,维护信息人的人身财产安全。
完整性(Integrity)是指防止信息被非法篡改、破坏。
完整性要求信息保持其原始的状态,使信息连续可用。
可用性(Usability)是在信息安全保护阶段对信息安全提出的新要求,是指信息的存在可以为授权用户提供查阅、使用功能。
可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。
不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。
[7]
从相关文献来看,国内外学者及研究机构提出的信息安全目标主要是以上五个,只是有个别叫法不同。
美国国家信息基础设施的文献里提出了信息安全的五个属性:
可用性、可靠性、完整性、保密性和不可抵赖性。
从中可以看出信息安全的目标和其属性是相通的,都是为了保证信息在以上五个方面的安全。
2.2风险管理概述
2.2.1风险的概念及分类
由于风险存在于各个领域,它是一种客观存在。
因此关于风险的定义也多种多样,对风险的内涵、外延的理解、阐释也不尽相同。
有的认为风险是一种不确定性,包括不幸事件发生与否的不确定性;或损失发生的不确定性;或可测定的不确定性等。
有的则认为风险是一种疑虑,包括对存在的遭受损害可能性的疑虑;或在一定情况下关于未来结果的疑虑等,这些解释都有一定的道理,但是,无论从哪一角度认识或界定,几乎所有的风险定义不约而同地都包含了对风险共性的揭示:
风险,就是引发、造成损失的事件发生的一种可能性。
[8]
《辞海》将风险解释为:
人们在生产建设和日常生活中遭遇能导致人身伤亡、财产损失及其它经济损失的自然灾害、意外事故和其它不测事件的可能性。
风险的这种定义首先强调的是“损失的事件”的存在。
“损失的事件”与“可测定性”不同,可测定的不确定性可以存在于各种场合。
刘广学(2005)提出风险是指遭受损害或者损失的可能性,是实现一个事件不想要的负面结果的潜在因素。
[9]
综上所述,可以认为风险是可以被感知和认识的客观存在,无论从微观角度,还是从宏观角度都可以对其进行判断和估计,从而对风险进行有效的管理。
2.2.2信息安全风险的概念
澳大利亚/新西兰国家标准AS/NZS4360中提到信息安全风险是对目标产生影响的某种事件发生的机会,它可以用后果和可能性来衡量。
[10]
ISO/IECTR13335中对信息安全风险的定义是指一种特定的威胁利用一种或一组脆弱性造成组织的资产损失或损害的可能性。
[11]
吕俊杰认为信息安全风险指的是由于系统的脆弱性、人为的或自然的威胁导致安全事件发生而产生的影响,是特定威胁事件发生的可能性和后果的结合。
[4]该观点比较符合企业信息安全风险的含义,是指由于系统的、人为的、自然的原因对企业信息安全造成威胁的可能性。
信息安全风险的构成要素主要有三个:
分别是资产、威胁及脆弱性。
风险计算模型如图2-1所示。
图2-1风险计算模型
冯国登,范红和吴亚飞认为信息资产面临着威胁,威胁可以是任何可能对信息资产造成损害的个人、对象或事件。
[12]各要素之间存在着一定的关系,资产的价值越大,则面临的风险就越大;而风险是由威胁引起的,威胁越大风险就越大;威胁又是通过系统的脆弱性产生的,所以脆弱性越大风险就越大。
从以上分析可以看出,资产、威胁及脆弱性是引发风险的关键要素,因此要从根本上保障企业的信息安全,就要充分理解三者间的关系,利用三个要素间的因果联系来进行风险管理。
2.2.3风险管理的概念及过程
张灼、张勇(2009)认为风险管理包括主观风险(SubjectiveRisk)和客观风险(ObjectiveRisk),主观风险是指个人的主观的、非数理性的观点,规范风险为财务损失之不确定性。
客观风险是指团体的、客观的、数理性的观点,规范风险为不确定情况下,实际损失与预估损失之差异性。
[14]
韩慧群(2001)则指出风险管理就是要识别、评价信息系统中由于各种因素带来的安全性问题而导致损失的风险,对风险进行控制,减轻风险可能带来的负面影响,将损失降到最低。
风险管理就是一种控制与监管过程。
风险管理是主动的对待风险的方法,积极把握风险,制定风险计划,对风险进行控制与监管,是有效的、经济的对待风险的方法。
[8]
在CC/IS015408标准中定义了风险管理的主要安全概念,它强调对防护措施进行评估,评估的结果是对防护措施保障程度的描述,即防护措施降低安全风险的可信度。
资产所有者可以根据它来决定是否接受将资产暴露给威胁带来的风险。
CC标准侧重于对底层安全机制的功能满足性及实现可信程度,其核心的实质在于减少系统的脆弱性,实践中主要用于产品的测评而非企业系统。
[15]
有关信息安全的风险管理体现在信息安全保障体系中的技术、组织、管理等方面,并贯穿信息系统生命周期的整个过程,依据适度安全的原则,平衡成本和效益,合理部署和利用信息安全的信任体系、监控体系和应急处理等重要基础设施,确定合适的安全措施,从而确保机构具有完成其使命的信息安全保障能力。
[13]
从上述研究可以看出在信息安全领域,风险管理是指最大范围地保护信息资产,确保信息的保密性、完整性、可用性并在可以接受的范围内,识别、控制和降低或排除安全风险的流程。
对于风险管理的流程一般可以将风险管理的过程可以划分为风险识别、风险评估、风险分析及风险控制四个步骤。
张灼、张勇(2009)认为风险管理包括四个阶段的循环周期。
第一阶段为风险的识别与评价,第二阶段为风险的分类,第三阶段为制定对应的风险控制方案,第四阶段为对风险控制方案的评价。
吕俊杰(2010)在《信息安全风险管理方法及应用》一书中提到风险管理包括四个过程:
风险识别、风险计算、风险决策和风险监控与审查。
风险识别是指对资产、威胁、脆弱性以及已有控制措施的识别和确认;风险计算是指根据识别的结果,对风险值进行计算;风险决策是指确认风险的可接受程度,依据评估结果采取相应的控制方案,并对其控制措施进行评价;风险监控和审查是在风险管理体系运行后的持续更新和改进。
[4]
澳大利亚的国家标准《风险管理标准》(AS/NZS4360)指出风险管理过程分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。
在每个步骤的实施中,通过交流与协商、监控与回顾两个基本环节进行不断的调整,从而将整个过程连贯起来。
[10]
ISO13335标准给出的以风险管理为核心的安全管理关系,认为安全管理中的主要元素包括资产、威胁、脆弱点、影响、风险、防护措施和残余风险。
其中主要的安全管理过程包括风险分析、风险管理、安全意识维持、监控与一致性检验。
从而突出风险管理在整个安全管理系统中的重要性。
[11]
3.晨讯科技集团的信息安全风险现状分析
企业信息安全风险管理主要是针对企业可能存在的信息安全漏洞,通过提前预防的措施,减少各种风险事故发生的可能性,从而减低企业直接经济损失和间接声誉上的不良影响,保证企业信息的保密性、完整性和可用性。
寻找具体的企业信息安全风险管理的办法,首先需要明确企业面临主要信息安全风险的类型、特点、导致因素,才能针对性提出维护企业信息安全的对策建议。
3.1晨讯科技集团简介
晨讯科技集团是国内领先的移动通讯企业,以手机、移动手持终端、无线通讯模块解决方案为主营业务,集团现有员工3500余人。
集团总部位于上海,研发、生产、运作业务都在国内。
2005年6月在香港联交所主板上市(股票代码:
2000),根据过往几年上市公司公布的业绩显示,以销售额,纯利及股市市值计算,集团连续多年在手机设计行业排名第一。
集团旗下上海晨兴希姆通和沈阳晨讯公司是集团生产基地,共占地300余亩,拥有现代化生产车间100,000多平方米。
上海晨兴希姆通前身为上海晨兴工厂,创建于1993年,90年代初推出程控交换机用户接口SLIM模块,为国产交换机工业做出贡献。
公司目前拥有几十条先进生产线,具备手机液晶显示模块、手机前道主板SMT、后道整机组装完整的生产能力。
集团旗下希姆通信息技术(上海)有限公司为集团的研发中心,2002年由一批立志科技报国的中国工程师在上海创立。
公司在上海市长宁区拥有两座共三万多平方米的研发中心大楼。
一千多名工程师组成的研发队伍,掌握了手机研发和移动通讯的核心技术。
公司拥有从2.5G,3G到3.5G多平台终端和无线通讯模块设计能力,处于国内领先地位,产品受到国内外通讯制造商的青睐。
根据ABI调查报告显示,集团的无线通讯模块产品市场份额已占据国内第一,世界第二。
希姆通成为手机设计行业中唯一一家连续六年被评为“国家规划布局内重点软件企业”和“上海市高新技术企业”。
2008年3月,集团被全球著名的波士顿咨询公司评选为“全球新兴市场50强企业”,作为入选的十五家中国企业之一,晨讯科技集团被认为是通过创新业务模式和领先技术优势,取得市场领先地位的本土民族企业的突出代表。
企业里程碑
1993建立上海晨兴工厂,生产程控交换机接口模块SLIM,为国产交换机事业作出贡献。
1998开始转型生产液晶模块。
2002建立研发公司上海希姆通,从无线通讯模块的研发、设计开始;
2003上海希姆通进入移动手机研发设计领域,年底,第一款手机成功上市;
2004手机业务增长迅速;上海希姆通被评为“国家规划布局内重点软件企业”
2005上海希姆通、上海晨兴完成架构重组,组建晨讯科技集团,在香港联交所主板成功上市;
从2005年开始,集团连续三年被评为“德勤中国高科技、高成长50强”科技企业和“德勤亚太地区高科技、高成长500强”科技企业;
2006手机和无线通讯模块年出货量突破千万,TD-SCDMA、WCDMA/HSDPA、及电视手机等新技术研发相继取得突破
2007 完成海外区域布局,印度、俄罗斯及欧洲其他市场销售额增长迅速。
2008集团被全球著名的波士顿咨询公司评选为“全球新兴市场50强企业”,完成全球首款TD电视手机的研发和批量交付,创造了从画电路图开始,30天交付万台的纪录,为北京奥运作出贡献。
2009与多家国际一流品牌客户展开全面合作。
3.2晨讯科技集团信息管理现状
晨讯科技集团信息安全管理组织架构
信
升级会员 