企业信息系统安全治理思考.docx

企业信息系统安全治理思考姜晓亮律师 国际法学硕士 响应式网站 m.colaw.cn每年都有一些企业发生服务器被挟持，网络瘫痪，密码被盗等网络信息安全案件。企业的正常营运离不开信息系统的支持，而信息安全案件一旦发生，可能会对企业造成灾难性的后果。企业加强网络运行安全与信息安全的防范，做好应对网络与信息安全突发公共事件的应急处理工作，从而最大限度地减轻或消除网络与信息安全突发事件的危害和影响，确保网络运行安全与信息安全。企业网络和信息安全主要是设备的信息安全，涵盖网络系统、计算机操作系统、数据库管理系统和应用软件系统；计算机病毒的防范、入侵的监控；以用户（包括公司职工和外部相关机构人员）为中心的安全管理，包括用户的身份管理、身份认证、授权、审计等等。1. 信息安全案件的分类和风险分析1.1 网络安全风险1）网络体系结构的安全风险。网络平台是一切应用系统建设的基础平台，网络体系结构是否按照安全体系结构和安全机制进行设计，直接关系到网络平台的安全保障能力。企业的网络由内网与外网组成。内网与外网之间应当进行隔离及如何进行隔离。外网的路由是否正确，网络的容量、带宽是否考虑客户上网的峰值，网络设备有无冗余设计等都与安全风险密切相关。2）网络通信协议的安全风险。网络通信协议存在安全漏洞，网络黑客就能利用网络设备和协议的安全漏洞进行网络攻击和信息窃取。例如未经授权非法访问内部网络和应用系统；对其进行监听，窃取用户的口令密码和通信密码；对网络的安全漏洞进行探测扫描；对通信线路和网络设备实施拒绝服务攻击，造成线路拥塞和系统瘫痪。3) 漏洞及后门的安全风险。网络操作系统都存在安全漏洞；一些重要的网络设备，如路由器、交换机、电脑、其他存储设备，防火墙等，由于操作系统存在安全漏洞及后门，导致网络设备的不安全。1.2 系统安全风险1)操作系统安全风险。操作系统的安全性是系统安全管理的基础。数据库服务器、中间层服务器，以及各类业务和办公客户机等设备所使用的操作系统，都存在信息安全漏洞，由操作系统信息安全漏洞带来的安全风险是较为普遍的安全风险。同时，计算机病毒的传播会破坏数据信息，占用系统资源，影响计算机运行速度，引起网络堵塞甚至瘫痪。2) 数据库安全风险。所有的业务应用、决策支持、行政办公的信息管理核心都是数据库，而涉及企业运行的数据都是昀需要安全保护的信息资产，不仅需要统一的数据备份和恢复以及高可用性的保障机制，还需要对数据库的安全管理，包括访问控制，敏感数据的安全标签，日志审计等多方面提升安全管理级别，规避风险。各种应用系统软件在数据的安全管理设计上也不可避免地存在或多或少的安全缺陷，需要对数据库和应用的安全性能进行综合的检测和评估。3) 应用系统的安全风险。为优化整个应用系统的性能，无论是采用C／S应用模式或是B／S应用模式，应用系统都是其系统的重要组成部分，不仅是用户访问系统资源的入口，也是系统管理员和系统安全管理员管理系统资源的入口，桌面应用系统的管理和使用不当，会带来严重的安全风险。例如当口令或通信密码丢失、泄漏，系统管理权限丢失、泄漏时。 4) 黑客入侵风险。有的入侵者利用嗅探程序通过网络探测、扫描网络及操作系统存在的安全漏洞，如网络 IP地址、应用操作系统的类型、开放哪些 TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并采用相应的攻击程序对内网进行攻击。入侵者通过拒绝服务攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。有的入侵者通过网络监听、用户渗透、系统渗透、拒绝服务、木马等综合手段获得合法用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息，或使系统终止服务。1.3 管理层安全风险安全的网络设备要靠人来实施，责权不明、管理失控、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。当网络出现攻击行为或网络受到其它一些安全威胁时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。当故障发生后，也无法提供黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。必须对站点的访问活动进行多层次的记录，及时发现非法入侵行为。2. 预防与风险管理 目前一些企业网络安全管理的误区：重技术轻管理；重视产品功能，轻视人为因素；重视对外安全，轻视内部安全；缺乏整体性信息安全体系的考量，头痛医头脚痛医脚。企业网络安全风险管理必须整合企业管理体系与流程、技术手段及法律手段三个方面，设计适合本企业的完整安全架构、并持续实施，从而获得理想的安全管控效果。2.1 完善网络与信息安全突发事件监测、预测和预警制度。加强对各类网络与信息安全突发事件和可能引起突发网络与信息安全突发事件的有关信息的收集、分析、判断和持续监测。企业的网管当检查到有网络与信息安全突发事件发生或可能发生时，应及时对发