影響網(wǎng)絡(luò)信息安全的組織因素分析

1、影響網(wǎng)絡(luò)信息安全的組織因素分析摘要：針對網(wǎng)絡(luò)信息安全的威脅和造成的危害，本論文對影響網(wǎng)絡(luò)安全的因素進行了分析探討，在分析了我國網(wǎng)絡(luò)信息安全現(xiàn)狀的基礎(chǔ)上，將組織理論和網(wǎng)絡(luò)信息安全結(jié)合起來詳細探討了影響網(wǎng)絡(luò)信息安全的組織因素，并重點具體的研究了網(wǎng)絡(luò)信息安全管理的組織對策，對于進一步提高網(wǎng)絡(luò)信息安全管理應(yīng)用水平具有一定指導(dǎo)意義。關(guān)鍵詞：網(wǎng)絡(luò)工程；信息安全；組織因素1我國網(wǎng)絡(luò)信息安全現(xiàn)狀概述隨著互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展，人們對信息的獲取方式正逐步從傳統(tǒng)的媒介轉(zhuǎn)向互聯(lián)網(wǎng)，越來越多的人把訪問互聯(lián)網(wǎng)作為日常生活的一部分。網(wǎng)絡(luò)上各種新業(yè)務(wù)也相繼興起，如電子商務(wù)、數(shù)字貨幣、網(wǎng)絡(luò)銀行以及各種專用網(wǎng)的建設(shè)，這使得網(wǎng)絡(luò)信息的

2、安全與保密問題顯得越來越重要，我國政府也較早地注意并開始了對網(wǎng)絡(luò)經(jīng)濟信息安全的保護，如從20世紀80年代中期就開始了對計算機網(wǎng)絡(luò)的安全保密系統(tǒng)的研究，并使之在各信息系統(tǒng)中陸續(xù)推廣應(yīng)用，其中有些技術(shù)已趕上國際同類產(chǎn)品的水平，使我國的信息安全保密技術(shù)的水平推進到新的高度。具體來說，近年來我國政府保護網(wǎng)絡(luò)經(jīng)濟信息安全工作包括以下幾方面：（1）對基礎(chǔ)信息網(wǎng)絡(luò)與重要信息的安全進行了檢查。對各單位，包括政府機構(gòu)、高等院校、社會組織和企業(yè)的安全制度落實情況、安全防范措施落實情況、應(yīng)急響應(yīng)機制建設(shè)情況、信息技術(shù)產(chǎn)品和服務(wù)國產(chǎn)化情況、安全教育培訓(xùn)情況等進行了檢查，加強了各單位對信息網(wǎng)絡(luò)和信息安全的重視和建設(shè)。（

3、2）開展了信息安全法律和標準化建設(shè)工作，加強教育普及和宣傳工作。定期組織各單位成員、院校師生、企業(yè)員工等學(xué)習(xí)計算機信息系統(tǒng)安全保護條例、互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定、計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護管理辦法及各種網(wǎng)絡(luò)安全管理制度，使廣大用戶和群眾加強了信息安全防范意識。（3）開展了信息化密碼保障和網(wǎng)絡(luò)信任體系的建設(shè)。圍繞信息化戰(zhàn)略的實施，加強網(wǎng)絡(luò)信任體系的建設(shè)，切實做好信息安全保障工作，使國家信息化建設(shè)事業(yè)健康有序發(fā)展。（4）開展了信息安全應(yīng)急協(xié)調(diào)和處置工作，很多省市制定了信息安全事件應(yīng)急預(yù)案，研究制訂網(wǎng)絡(luò)與信息安全事件應(yīng)急工作規(guī)劃、計劃和政策，協(xié)調(diào)推進網(wǎng)絡(luò)與信息安全事件應(yīng)急工作機制和體系建設(shè)，

4、組織開展應(yīng)急處置工作。（5）開展了信息安全風(fēng)險評估。2006年3月16日，國務(wù)院信息化工作辦公室在昆明召開了關(guān)于開展信息安全風(fēng)險評估工作的意見宣貫會，明確了國家對風(fēng)險評估工作的目標與要求以及今后企業(yè)如何為用戶提供風(fēng)險評估服務(wù)的一些標準。2影響網(wǎng)絡(luò)信息安全的組織因素分析2.1影響網(wǎng)絡(luò)信息安全的組織因素根據(jù)組織結(jié)構(gòu)的定義，結(jié)合IAEA組織結(jié)構(gòu)分類和網(wǎng)絡(luò)環(huán)境下信息安全管理組織結(jié)構(gòu)設(shè)計原則，本文將影響組織結(jié)構(gòu)的因素分為信息安全工作組織、權(quán)力與責(zé)任、交流、資源信息安全工作組織。為了保障信息安全工作，很多組織設(shè)置了網(wǎng)絡(luò)管理或信息安全管理部門。盡管如此在調(diào)研中發(fā)現(xiàn)這些組織仍然受到信息安全問題的困擾，原因是存

5、在以下問題：輔助信息安全工作的配套設(shè)施不完備；未配備從事信息安全管理工作的專業(yè)人員或不足；未設(shè)置信息安全工作的監(jiān)管部門。權(quán)力與職責(zé)。為了提高網(wǎng)絡(luò)信息系統(tǒng)的安全性能，組織就要明確規(guī)定員工的職責(zé)并授權(quán)。職責(zé)就是員工從事工作本身的責(zé)任，組織中的個體必須明白自己的職責(zé)，即明白自己對信息系統(tǒng)安全所起到的作用。工作中的疏忽大意或僥幸心理可能會引起大的事故，造成嚴重的后果。授權(quán)是賦予員工一定的權(quán)限或權(quán)力，并賦予相應(yīng)的責(zé)任，這樣能更好地發(fā)揮員工的主觀能動性，提高信息系統(tǒng)的安全。對于不同的個人或部門，應(yīng)明確地劃定其權(quán)力范圍及相應(yīng)的責(zé)任，現(xiàn)代組織常常出現(xiàn)權(quán)責(zé)不明的問題：出了問題大家都不管；出了成績大家都搶功。這不

6、但使組織的獎懲制度無法實施，還會極大地影響到部門之間，員工之間的團隊合作精神，使組織陷于內(nèi)亂，信息安全問題更無法談起。只有權(quán)力與責(zé)任相符，才能更好地達到保障網(wǎng)絡(luò)信息安全的目的。(3)交流。組織中的交流是指信息或思想在人群中的傳遞或交換的過程。通過交流可以把員工聯(lián)系起來，調(diào)動起來為實現(xiàn)組織的目標而努力。交流是協(xié)調(diào)各個體、各要素、并使組織成為一個整體的凝聚劑交流的分類有正式交流和非正式交流，書面交流和口頭交流，組織內(nèi)部交流和組織之間的交流等。影響交流效果的因素有：交流工具的先進性，交流工具通常指電話、網(wǎng)絡(luò)等，是信息交換的硬件設(shè)備，交流工具越先進就越有利于比較方便快捷地達到交流的目的；交流語言使用質(zhì)

7、量，交流語言使用質(zhì)量是指理解上不能有障礙，表達要準確清晰，達到基本交流的目的。語言使用得當有利于工作順利的進行，如上下級之間交流中，領(lǐng)導(dǎo)注意自己的言語，以人為本將激發(fā)員工的工作熱情。所以語言的可理解性和恰當性影響交流的效果，從而有利于保障網(wǎng)絡(luò)信息系統(tǒng)的安全；交流時間和空間的適合度，交流時間和空間的適合度指組織提供合適的空間和安排適當?shù)臅r間讓大家交流。特別是定期工作經(jīng)驗交流，有利于員工間共享網(wǎng)絡(luò)信息安全知識，增進信息安全問題處理能力。(4)資源。網(wǎng)絡(luò)信息安全的保障需要不斷的技術(shù)開發(fā)和設(shè)備的更新，以適用技術(shù)迅速發(fā)展的需要，比如自主網(wǎng)絡(luò)安全技術(shù)的研發(fā)、軟件的升級、更大容量和更快速度硬件上市、病毒庫的

8、升級、機房條件的改善以及信息管理員的培訓(xùn)等等，都需要組織提供充足的時間資源、人力資源、物資資源、財力資源支持。組織資源的短缺或配置不合理，必然會造成網(wǎng)絡(luò)信息系統(tǒng)運行的失衡，給網(wǎng)絡(luò)信息的安全帶來不確定性，引發(fā)信息安全問題。影響資源的主要因素有：資源的充沛性；資源配置的合理性。2.2網(wǎng)絡(luò)信息安全管理的組織對策網(wǎng)絡(luò)信息安全工作中的組織管理主要有：信息安全風(fēng)險制度的建立、安全策略的制訂、行為的規(guī)范、監(jiān)督管理的執(zhí)行等方面。信息安全風(fēng)險制度的建立。制定網(wǎng)絡(luò)建設(shè)方案、機房管理制度、安全保密規(guī)定、口令管理制度、網(wǎng)絡(luò)安全指南、用戶上網(wǎng)使用手冊、系統(tǒng)操作規(guī)程、應(yīng)急響應(yīng)方案、安全防護記錄等，一系列的信息安全制度是保

9、證網(wǎng)絡(luò)信息的核心部門高安全、高可靠地運作的前提條件。風(fēng)險管理的責(zé)任機制。在信息安全風(fēng)險管理工作中，要切實執(zhí)行“一把手“責(zé)任制，各級領(lǐng)導(dǎo)要對信息安全風(fēng)險有全面而深刻的認識，在思想上予以高度重視，將對信息安全風(fēng)險管理工作的認識提高到關(guān)乎國家金融穩(wěn)定、經(jīng)濟健康發(fā)展的高度，堅持局部服從全局的信息安全風(fēng)險管理原則，將信息安全風(fēng)險管理工作放在重要地位，有效推進，合理分工。信息安全風(fēng)險管理工作要層層落實職責(zé)和分工，切實執(zhí)行信息安全風(fēng)險管理措施，保證信息安全風(fēng)險管理工作有條不紊地開展。同時也必須認清，信息安全風(fēng)險管理工作不是一墩而就的，必須長期堅持不懈地予以貫徹；風(fēng)險管理的預(yù)防機制。重視事前管理，抓好風(fēng)險的預(yù)

10、防工作是信息安全風(fēng)險控制預(yù)防機制的核心內(nèi)容。要想實現(xiàn)有效的風(fēng)險預(yù)防，就要對關(guān)鍵信息系統(tǒng)所涉及的各個環(huán)節(jié)和部分進行嚴格的風(fēng)險檢查和準確的風(fēng)險評估。檢查和評估工作必須定期進行，可以采取內(nèi)部檢查評估與外部檢查評估相結(jié)合的方式。外部檢查評估可以是不同部門或不同行業(yè)之間的相互檢查評估，也可以通過米購第三方的專業(yè)評估的方式進行，切實保證檢查和評估的有效性和準確性。檢查和評估應(yīng)有合規(guī)的流程管理，注重檢查和評估結(jié)果，確保檢查和評估工作并非流于形式；風(fēng)險管理的通報機制。實施信息安全的風(fēng)險管理通報機制，能夠有效地減少同類風(fēng)險的再次發(fā)生，是事前管控，防范風(fēng)險的有效手段。由于我國目前信息化建設(shè)的水平較國外有一定差距，

11、米用的產(chǎn)品和技術(shù)都比較集中。因而在一處出現(xiàn)過的事件，很有可能在其他行業(yè)也存在類似的隱患。風(fēng)險管理的通報機制，有助于尚未出現(xiàn)問題的行業(yè)，共同總結(jié)經(jīng)驗教訓(xùn)，及時認識風(fēng)險隱患，盡早發(fā)現(xiàn)類似風(fēng)險，快速采取有針對性的事前防范措施；風(fēng)險管理的應(yīng)急機制。我國信息化建設(shè)已經(jīng)達到了網(wǎng)絡(luò)全面覆蓋、應(yīng)用群組眾多，數(shù)據(jù)高度集中的階段，數(shù)據(jù)中心規(guī)模急速增長。數(shù)據(jù)中心規(guī)模越大，風(fēng)險也就越集中，信息安全事件所產(chǎn)生的危害也就越大。有效的應(yīng)急機制是降低和化解此類風(fēng)險的必備手段。針對關(guān)鍵的應(yīng)用系統(tǒng)群組，乃至針對整個數(shù)據(jù)中心的突發(fā)事件必須具有可操作性很強的應(yīng)急方案，并且還要有成熟的應(yīng)急反應(yīng)體系，能在事件發(fā)生之時，合理決策、落實執(zhí)行

12、應(yīng)急方案，才能保障在最短的時間內(nèi)恢復(fù)信息安全運行，減少損失，降低事件給國家金融和經(jīng)濟穩(wěn)定所造成的危害。信息安全的管理構(gòu)建策略。即對安全區(qū)域訪問規(guī)則的正式陳述，任何獲準訪問安全區(qū)域的技術(shù)和信息管理的人員，都必須遵守這些規(guī)則。安全策略從宏觀的角度反映企業(yè)整體的安全思想和觀念，是制定具體策略規(guī)劃的基礎(chǔ)；安全策略對于組織的網(wǎng)絡(luò)信息安全建設(shè)起著舉足輕重的作用，所有信息安全建設(shè)的后續(xù)工作都是圍繞安全策略展開的。同時，隨著網(wǎng)絡(luò)拓撲結(jié)構(gòu)、網(wǎng)絡(luò)應(yīng)用以及網(wǎng)絡(luò)安全技術(shù)的不斷發(fā)展，安全策略的制訂和實施應(yīng)是一個動態(tài)的延續(xù)過程。信息安全風(fēng)險管理策略，應(yīng)在信息安全風(fēng)險管理原則的指導(dǎo)下制定。風(fēng)險管理策略應(yīng)重點關(guān)注涉及信息技術(shù)

13、風(fēng)險的所有組織和人員、所有設(shè)備和設(shè)施、所有流程和環(huán)節(jié)。針對不同信息安全領(lǐng)域、不同業(yè)務(wù)、不同系統(tǒng)、不同要求，具體的風(fēng)險管理策略也不盡相同，管理策略涉及以下方面：風(fēng)險評估和預(yù)警策略：使用科學(xué)的分析方法、定期對不同重要級別的系統(tǒng)進行不同頻度的風(fēng)險評估工作，通過定量和定性的評估方法，揭示出風(fēng)險的來源、風(fēng)險的大??；風(fēng)險規(guī)避策略：針對定性或者定量評估的結(jié)果，進行有針對性的整改，通過降低風(fēng)險發(fā)生的可能性和降低風(fēng)險發(fā)生后的影響等手段，努力在風(fēng)險發(fā)生前規(guī)避風(fēng)險或降低風(fēng)險大小，并對整改成果進行再評估；風(fēng)險應(yīng)急管理策略：針對殘留風(fēng)險評估結(jié)果，尤其是其中的重點風(fēng)險，制定有針對性的應(yīng)急預(yù)案，通過有效的應(yīng)急處置，爭取在風(fēng)

14、險事件發(fā)生后，快速地恢復(fù)生產(chǎn)運行，控制風(fēng)險的影響范圍和影響程度；風(fēng)險審計管理策略：IT審計的目標是通過對所有IT規(guī)劃、建設(shè)、應(yīng)用、服務(wù)、安全等全方位的審計，充分識別與評估殘余IT風(fēng)險，進一步完善風(fēng)險控制措施，實現(xiàn)IT系統(tǒng)的可用性、安全性、完整性、有效性，最終達到強化信息安全風(fēng)險管理內(nèi)部控制的目的；內(nèi)部風(fēng)險管理策略：包括信息安全風(fēng)險管理的組織架構(gòu)及職能、崗位及職責(zé)、密碼和授權(quán)、發(fā)布和保密、系統(tǒng)開發(fā)和維護、變更實施和審核、操作和流程、設(shè)施和環(huán)境、信息資產(chǎn)、人員、問題和事件、訪問控制、備份和冗余、應(yīng)急處置，業(yè)務(wù)連續(xù)性等方面的一系列的規(guī)章和規(guī)范；外部風(fēng)險管理策略：通過詳細的客戶使用手冊，控制客戶端風(fēng)險

15、，保證業(yè)務(wù)的交付，通過有效的第三方技術(shù)方案和系統(tǒng)接口管理辦法等控制來源于第三方合作伙伴的信息技術(shù)風(fēng)險。信息安全的監(jiān)督管理。監(jiān)督是一個管理控制的過程，是對各項活動的監(jiān)視，從而保證各項行動按計劃進行，并且能夠糾正執(zhí)行過程中各種顯著偏差，是組織和個人順利達到目標不可缺少的因素。對信息安全重要相關(guān)的操作實行合理的監(jiān)督，確保關(guān)鍵操作的正確性，可以降低信息安全問題的發(fā)生率。而且，信息安全的監(jiān)督對杜絕違規(guī)、違章操作，發(fā)現(xiàn)網(wǎng)絡(luò)信息系統(tǒng)隱患，及時整改，督促組織建立健全各項安全規(guī)章制度，落實各項信息安全防范措施具有重大作用：信息系統(tǒng)投產(chǎn)上線管理操作規(guī)范，基本內(nèi)容應(yīng)該包括投產(chǎn)前的驗收、投產(chǎn)前的風(fēng)險收益評估、投產(chǎn)前的

16、試運行、投產(chǎn)的環(huán)境準備、人員準備、制度準備、投產(chǎn)的審批、投產(chǎn)正式上線和投產(chǎn)后評價等；信息系統(tǒng)管理維護操作規(guī)范，基本內(nèi)容應(yīng)該包括系統(tǒng)管理維護受理、系統(tǒng)管理維護會診、系統(tǒng)管理維護方案審批、系統(tǒng)管理維護方案實驗、系統(tǒng)管理維護方案實施記錄和報告、系統(tǒng)管理維護結(jié)果檢測和評價等；信息系統(tǒng)變更管理操作規(guī)范，基本內(nèi)容應(yīng)該包括系統(tǒng)變更發(fā)起、制定系統(tǒng)變更方案、審核和批準系統(tǒng)變更方案、系統(tǒng)變更方案實施、變更實施失敗回退處理、變更成功結(jié)果發(fā)布、變更過程后檢查和評價等；信息系統(tǒng)訪問控制管理操作規(guī)范，基本內(nèi)容應(yīng)該包括：訪問控制對象的設(shè)置和管理、訪問控制規(guī)則的設(shè)置、誰可以訪問和訪問的深度和廣度、誰有權(quán)利批準訪問以及超范圍的訪問、訪問時應(yīng)遵守的程序、訪問的記錄、訪問的監(jiān)督以及后續(xù)的檢查；信息系統(tǒng)運營環(huán)境管理操作規(guī)范，基本內(nèi)容應(yīng)該包括：環(huán)境的配置標準及驗收、環(huán)境的監(jiān)控管理、環(huán)境變化的應(yīng)急管理、出入環(huán)境的人員管理和環(huán)境軟硬件設(shè)備的管理；信息系統(tǒng)業(yè)務(wù)連續(xù)性管理操作規(guī)范，基本內(nèi)容應(yīng)該包括：業(yè)務(wù)連續(xù)性(含備份、應(yīng)急)計劃、業(yè)務(wù)影響分析、應(yīng)急預(yù)案和應(yīng)急演練、備份和災(zāi)備中心管理等；信息系統(tǒng)運營服務(wù)外包管理操作規(guī)范，基本內(nèi)容應(yīng)該包括：外包服務(wù)商的資質(zhì)及資質(zhì)審定、外包服務(wù)商的招標、中標外包服務(wù)商的協(xié)議條款規(guī)定及協(xié)議簽訂、內(nèi)部人員配合外包服務(wù)商的有關(guān)要求、對外包服務(wù)商進行外包服務(wù)時的監(jiān)督、