企業(yè)信息系統(tǒng)安全治理思考

1、企業(yè)信息系統(tǒng)安全治理思考姜曉亮律師國際法學(xué)碩士響應(yīng)式網(wǎng)站每年都有一些企業(yè)發(fā)生服務(wù)器被挾持，網(wǎng)絡(luò)癱瘓，密碼被盜等網(wǎng)絡(luò)信息安全案件。企 業(yè)的正常營運離不開信息系統(tǒng)的支持，而信息安全案件一旦發(fā)生，可能會對企業(yè)造成災(zāi)難性 的后果。企業(yè)加強網(wǎng)絡(luò)運行安全與信息安全的防范，做好應(yīng)對網(wǎng)絡(luò)與信息安全突發(fā)公共事件 的應(yīng)急處理工作，從而最大限度地減輕或消除網(wǎng)絡(luò)與信息安全突發(fā)事件的危害和影響，確保 網(wǎng)絡(luò)運行安全與信息安全。企業(yè)網(wǎng)絡(luò)和信息安全主要是設(shè)備的信息安全，涵蓋網(wǎng)絡(luò)系統(tǒng)、計算機操作系統(tǒng)、數(shù)據(jù) 庫管理系統(tǒng)和應(yīng)用軟件系統(tǒng)；計算機病毒的防范、入侵的監(jiān)控；以用戶（包括公司職工和外 部相關(guān)機構(gòu)人員）為中心的安全管理，包括用

2、戶的身份管理、身份認證、授權(quán)、審計等等。.信息安全案件的分類和風(fēng)險分析網(wǎng)絡(luò)安全風(fēng)險1）網(wǎng)絡(luò)體系結(jié)構(gòu)的安全風(fēng)險。網(wǎng)絡(luò)平臺是一切應(yīng)用系統(tǒng)建設(shè)的基礎(chǔ)平臺，網(wǎng)絡(luò)體系結(jié)構(gòu)是 否按照安全體系結(jié)構(gòu)和安全機制進行設(shè)計，直接關(guān)系到網(wǎng)絡(luò)平臺的安全保障能力。企業(yè)的網(wǎng) 絡(luò)由內(nèi)網(wǎng)與外網(wǎng)組成。內(nèi)網(wǎng)與外網(wǎng)之間應(yīng)當進行隔離及如何進行隔離力卜網(wǎng)的路由是否正確， 網(wǎng)絡(luò)的容量、帶寬是否考慮客戶上網(wǎng)的峰值，網(wǎng)絡(luò)設(shè)備有無冗余設(shè)計等都與安全風(fēng)險密切相 關(guān)。2）網(wǎng)絡(luò)通信協(xié)議的安全風(fēng)險。網(wǎng)絡(luò)通信協(xié)議存在安全漏洞，網(wǎng)絡(luò)黑客就能利用網(wǎng)絡(luò)設(shè)備和 協(xié)議的安全漏洞進行網(wǎng)絡(luò)攻擊和信息竊取。例如未經(jīng)授權(quán)非法訪問內(nèi)部網(wǎng)絡(luò)和應(yīng)用系統(tǒng);對 其進行監(jiān)聽，竊取用戶

3、的口令密碼和通信密碼；對網(wǎng)絡(luò)的安全漏洞進行探測掃描；對通信線 路和網(wǎng)絡(luò)設(shè)備實施拒絕服務(wù)攻擊，造成線路擁塞和系統(tǒng)癱瘓。3）漏洞及后門的安全風(fēng)險。網(wǎng)絡(luò)操作系統(tǒng)都存在安全漏洞；一些重要的網(wǎng)絡(luò)設(shè)備，如路由 器、交換機、電腦、其他存儲設(shè)備，防火墻等，由于操作系統(tǒng)存在安全漏洞及后門，導(dǎo)致網(wǎng) 絡(luò)設(shè)備的不安全。系統(tǒng)安全風(fēng)險1）操作系統(tǒng)安全風(fēng)險。操作系統(tǒng)的安全性是系統(tǒng)安全管理的基礎(chǔ)。數(shù)據(jù)庫服務(wù)器、中間 層服務(wù)器，以及各類業(yè)務(wù)和辦公客戶機等設(shè)備所使用的操作系統(tǒng)，都存在信息安全漏洞，由 操作系統(tǒng)信息安全漏洞帶來的安全風(fēng)險是較為普遍的安全風(fēng)險。同時，計算機病毒的傳播會 破壞數(shù)據(jù)信息，占用系統(tǒng)資源，影響計算機運行速度，

4、引起網(wǎng)絡(luò)堵塞甚至癱瘓。2）數(shù)據(jù)庫安全風(fēng)險。所有的業(yè)務(wù)應(yīng)用、決策支持、行政辦公的信息管理核心都是數(shù)據(jù)庫，而涉及企業(yè)運行的數(shù)據(jù)都是昀需要安全保護的信息資產(chǎn)不僅需要統(tǒng)一的數(shù)據(jù)備份和恢復(fù)以 及高可用性的保障機制，還需要對數(shù)據(jù)庫的安全管理，包括訪問控制，敏感數(shù)據(jù)的安全標簽， 日志審計等多方面提升安全管理級別，規(guī)避風(fēng)險。各種應(yīng)用系統(tǒng)軟件在數(shù)據(jù)的安全管理設(shè)計 上也不可避免地存在或多或少的安全缺陷需要對數(shù)據(jù)庫和應(yīng)用的安全性能進行綜合的檢測 和評估。3）應(yīng)用系統(tǒng)的安全風(fēng)險。為優(yōu)化整個應(yīng)用系統(tǒng)的性能，無論是采用C/S應(yīng)用模式或是B / S應(yīng)用模式，應(yīng)用系統(tǒng)都是其系統(tǒng)的重要組成部分，不僅是用戶訪問系統(tǒng)資源的入口，也

5、 是系統(tǒng)管理員和系統(tǒng)安全管理員管理系統(tǒng)資源的入口，桌面應(yīng)用系統(tǒng)的管理和使用不當，會 帶來嚴重的安全風(fēng)險。例如當口令或通信密碼丟失、泄漏，系統(tǒng)管理權(quán)限丟失、泄漏時。4）黑客入侵風(fēng)險。有的入侵者利用嗅探程序通過網(wǎng)絡(luò)探測、掃描網(wǎng)絡(luò)及操作系統(tǒng)存在 的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用 戶名和口令等安全信息的關(guān)鍵文件等，并采用相應(yīng)的攻擊程序?qū)?nèi)網(wǎng)進行攻擊。入侵者通過 拒絕服務(wù)攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。有的入侵者通過網(wǎng)絡(luò)監(jiān) 聽、用戶滲透、系統(tǒng)滲透、拒絕服務(wù)、木馬等綜合手段獲得合法用戶的用戶名、口令等信息， 進而假冒內(nèi)部合法身份進行非法登

6、錄，竊取內(nèi)部網(wǎng)重要信息，或使系統(tǒng)終止服務(wù)。管理層安全風(fēng)險安全的網(wǎng)絡(luò)設(shè)備要靠人來實施，責(zé)權(quán)不明、管理失控、安全管理制度不健全及缺乏可 操作性等都可能引起管理安全的風(fēng)險。當網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其它一些安全威脅時 （如內(nèi)部人員的違規(guī)操作等），無法進行實時的檢測、監(jiān)控、報告與預(yù)警。當故障發(fā)生后， 也無法提供黑客攻擊行為的追蹤線索及破案依據(jù)，即缺乏對網(wǎng)絡(luò)的可控性與可審查性。必須對站點的訪問活動進行多層次的記錄，及時發(fā)現(xiàn)非法入侵行為。.預(yù)防與風(fēng)險管理目前一些企業(yè)網(wǎng)絡(luò)安全管理的誤區(qū)：重技術(shù)輕管理；重視產(chǎn)品功能，輕視人為因素；重 視對外安全，輕視內(nèi)部安全；缺乏整體性信息安全體系的考量，頭痛醫(yī)頭腳痛醫(yī)腳。

7、企業(yè)網(wǎng) 絡(luò)安全風(fēng)險管理必須整合企業(yè)管理體系與流程、技術(shù)手段及法律手段三個方面，設(shè)計適合本 企業(yè)的完整安全架構(gòu)、并持續(xù)實施，從而獲得理想的安全管控效果。完善網(wǎng)絡(luò)與信息安全突發(fā)事件監(jiān)測、預(yù)測和預(yù)警制度。加強對各類網(wǎng)絡(luò)與信息安全突發(fā)事件和可能引起突發(fā)網(wǎng)絡(luò)與信息安全突發(fā)事件的有關(guān) 信息的收集、分析、判斷和持續(xù)監(jiān)測。企業(yè)的網(wǎng)管當檢查到有網(wǎng)絡(luò)與信息安全突發(fā)事件發(fā)生 或可能發(fā)生時，應(yīng)及時對發(fā)生事件或可能發(fā)生事件進行調(diào)查核實、保存相關(guān)證據(jù)，并立即向 應(yīng)急安全生產(chǎn)管理委員會報告。報告內(nèi)容主要包括信息來源、影響范圍、事件性質(zhì)、事件發(fā) 展趨勢和采取的措施建議等。制定信息安全管理規(guī)定之規(guī)章制度通過規(guī)章制度的規(guī)定，利用

8、信息安全技術(shù)及管理手段，防范公司信息系統(tǒng)安全風(fēng)險，保 護商業(yè)秘密信息在采集、傳輸、交換、處理和存儲等過程中的保密性、完整性和唯一性，從 而保障信息系統(tǒng)的安全、穩(wěn)定運行。信息安全管理規(guī)定的參考文本，可以登入企業(yè)與法 網(wǎng)站以授權(quán)會員的身份查詢()。將外包納入企業(yè)的風(fēng)險管理體系對涉及公司商業(yè)秘密和客戶隱私等敏感信息系統(tǒng)內(nèi)容進行外包時應(yīng)根據(jù)風(fēng)險控制和實 際需要，進行評估審核與監(jiān)督管理。對承包方財務(wù)狀況、技術(shù)實力、安全資質(zhì)、風(fēng)險控制水 平和誠信記錄等進行評估，確保其設(shè)施和能力滿足外包要求?？梢詤⒄丈虾Ｊ芯W(wǎng)絡(luò)與信息 安全服務(wù)外包指引，更新完善信息外包服務(wù)合同，特別是合同中的安全保密、知識產(chǎn)權(quán)、 服務(wù)連續(xù)性

9、要求、爭議解決、違約責(zé)任等條款，應(yīng)當有利于企業(yè)的信息安全管理。設(shè)定信息安全等級保護，實行信息安全風(fēng)險評估。通過相關(guān)設(shè)備實時監(jiān)控網(wǎng)絡(luò)工作與信息安全狀況。各基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)建 設(shè)要充分考慮抗毀性和災(zāi)難恢復(fù)，制定并不斷完善信息安全應(yīng)急處理預(yù)案。針對信息網(wǎng)絡(luò)的 突發(fā)性、大規(guī)模安全案件，建立制度優(yōu)化、程序化的處理流程。企業(yè)需要建立控制系統(tǒng)防病毒和惡意軟件入侵管理機制，對控制系統(tǒng)及臨時接入的設(shè) 備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、 查殺臨時接入設(shè)備（如臨時接入U盤、移動終端等外設(shè)）等。企業(yè)windows客戶端安裝殺 毒軟件，如企業(yè)資金許可可以用360

10、天擎殺毒軟件；或者用免費的360企業(yè)版殺毒軟件。做好服務(wù)器及數(shù)據(jù)中心的數(shù)據(jù)備份及登記工作，建立災(zāi)難性數(shù)據(jù)恢復(fù)機制。對于重要網(wǎng)絡(luò)與信息系統(tǒng)，在建設(shè)系統(tǒng)時應(yīng)事先預(yù)留一定的應(yīng)急設(shè)備，建立信息網(wǎng)絡(luò)硬件、 軟件、應(yīng)急救援設(shè)備等應(yīng)急物資庫。在網(wǎng)絡(luò)與信息安全突發(fā)公共事件發(fā)生時，由應(yīng)急工作組 負責(zé)統(tǒng)一調(diào)用。重要信息系統(tǒng)均應(yīng)建立容災(zāi)備份系統(tǒng)和相關(guān)工作機制，保證重要數(shù)據(jù)在遭到破壞后， 可緊急恢復(fù)。各容災(zāi)備份系統(tǒng)應(yīng)具有一定的兼容性，在特殊情況下各系統(tǒng)間可互為備份。網(wǎng)絡(luò)安全檢查聘請有資質(zhì)的信息安全服務(wù)商，對企業(yè)的信息系統(tǒng)安全進行檢查，包括：1）系統(tǒng)漏洞檢查；：掃描企業(yè)網(wǎng)絡(luò)系統(tǒng)，檢測存在的弱點與漏洞；并提出相應(yīng)的修補

11、方案。2）數(shù)據(jù)庫安全檢查：對數(shù)據(jù)庫配置的安全進行檢測。3）主機安全檢查：通過提取操作系統(tǒng)的關(guān)鍵機制，如系統(tǒng)服務(wù)，注冊表，啟動進程，檢測操作系統(tǒng)的訪問控制，授權(quán)與審計;反饋系統(tǒng)的安全配置，文件訪問，引導(dǎo)等系統(tǒng)深度 信息。4）網(wǎng)絡(luò)安全檢查：通過對目標網(wǎng)站進行完整掃描，檢測WEB應(yīng)用安全弱點；對網(wǎng)頁木馬和各類網(wǎng)頁被篡改后植入惡意代碼進行檢測分析等。法律風(fēng)險管理按照計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定、計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保 護管理辦法、商用密碼管理條例、計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定刑法 等法律法規(guī)的規(guī)定，完善企業(yè)與客戶的用戶協(xié)議;與供應(yīng)商的采購合同，信息系統(tǒng)服務(wù)合同； 企業(yè)與職工的保密協(xié)議

12、與競業(yè)限制協(xié)議，預(yù)防信息安全的法律風(fēng)險。.信息安全案件的處置流程預(yù)案啟動在發(fā)生網(wǎng)絡(luò)與信息安全案件后，信息中心應(yīng)盡啊大可能迅速收集事件相關(guān)信息，鑒別事件性 質(zhì)，確定事件來源，弄清事件范圍和評估事件帶來的影響和損害，一旦確認為網(wǎng)絡(luò)與信息安全案件后，立即將事件上報工作組并著手處置。應(yīng)急處理1）局域網(wǎng)中斷緊急處理措施（1）信息安全負責(zé)人員立即判斷故障節(jié)點，查明故障原因，及時匯報。（2）若是線路故障，重新安裝線路。（3）若是路由器、交換機等設(shè)備故障，應(yīng)立即從指定位置將備用設(shè)備取出接上，并調(diào)試暢通。（4）若是路由器、交換機等配置文件損壞，應(yīng)迅速按照要求重新配置，并調(diào)試暢通。2）廣域網(wǎng)線路中斷（1）信息安全

13、負責(zé)人員應(yīng)立即判斷故障節(jié)點，查明故障原因。（2）如是我方管轄范圍，由信息安全負責(zé)人員立即維修恢復(fù)。（3）如是電信部門管轄范圍，應(yīng)立即與電信維護部門聯(lián)系修復(fù)。（4）做好事件記錄。3）核心交換機故障（1）檢查、備份核心交換機日志。（2）啟用備用核心交換機，檢查接管情況。（3）備份核心交換機配置信息。（4）將服務(wù)器接入備用核心交換機，檢查服務(wù)器運行情況，將樓層交換機、接入交換機接入備用核心交換機，檢查各交換機運行情況。（5）聯(lián)系維修核心交換機。4）計算機病毒爆發(fā)(1 )關(guān)閉計算機病毒爆發(fā)網(wǎng)段上聯(lián)端口。(2 )隔離中病毒計算機。(3)關(guān)閉中病毒計算機上聯(lián)端口。(4)根據(jù)病毒特征使用專用工具進行查殺。(

14、5)系統(tǒng)損壞計算機在備份其數(shù)據(jù)后，進行重裝。(6)通過專用工具對網(wǎng)絡(luò)進行清查。(7)做好事件記錄，及時上報。5)服務(wù)器設(shè)備故障(1)主要服務(wù)器應(yīng)做多個數(shù)據(jù)備份。(2)如能自行恢復(fù)，則立即用備件替換受損部件，如：電源損壞更換備用電源，硬盤損壞 更換備用硬盤，網(wǎng)卡、主板損壞啟用備用服務(wù)器。(3)若數(shù)據(jù)庫崩潰應(yīng)立即啟用備用系統(tǒng)。并檢查備用服務(wù)器啟用情況。(4)對主機系統(tǒng)進行維修并做數(shù)據(jù)恢復(fù)。(5)如不能恢復(fù)，立即聯(lián)系設(shè)備供應(yīng)商，要求派維護人員前來維修。(6)匯報有關(guān)領(lǐng)導(dǎo)，做好事件記錄。6)黑客攻擊事件(1)若通過入侵監(jiān)測系統(tǒng)發(fā)現(xiàn)有黑客進行攻擊，立即通知相關(guān)人員處理。(2)將被攻擊的服務(wù)器等設(shè)備從網(wǎng)絡(luò)

15、中隔離出來。(3)及時恢復(fù)重建被攻擊或被破壞的系統(tǒng)(4)記錄事件，及時上報，若事態(tài)嚴重，應(yīng)及時向信息化主管部門和公安部門報警。7)數(shù)據(jù)庫安全案件(1)平時應(yīng)對數(shù)據(jù)庫系統(tǒng)做多個備份。（2）發(fā)生數(shù)據(jù)庫數(shù)據(jù)丟失、受損、篡改、泄露等安全案件時，信息安全人員應(yīng)查明原因， 按照情況采取相應(yīng)措施：如更改數(shù)據(jù)庫密碼，修復(fù)錯誤受損數(shù)據(jù)。（3）如果數(shù)據(jù)庫崩潰，信息安全人員應(yīng)立即啟用備用系統(tǒng)，并向信息安全負責(zé)人報告；在 備用系統(tǒng)運行期間，信息安全人員應(yīng)對主機系統(tǒng)進行維修并作數(shù)據(jù)恢復(fù)。8）關(guān)鍵人員不在崗的緊急處置措施（1）對于關(guān)鍵崗位平時應(yīng)做好人員儲備，確保一項工作有兩人能夠操作。對于關(guān)鍵賬戶和 密碼進行密封保存。（

16、2）一旦發(fā)生系統(tǒng)安全案件關(guān)鍵人員不在崗且聯(lián)系不上或1小時內(nèi)不能到達機房的情況， 首先應(yīng)向安全生產(chǎn)管理委員會匯報情況。（3）經(jīng)安全生產(chǎn)管理委員會批準后，啟用企業(yè)備份管理員密碼，由備用人員上崗操作。（4）如果備用人員無法上崗，請求軟件公司技術(shù)支援。（5）關(guān)鍵人員到崗后，按照相關(guān)規(guī)定進行密碼設(shè)定和封存。后續(xù)處理安全案件進行應(yīng)急處置以后，應(yīng)及時采取行動，抑制其影響的進一步擴大，限制潛在的損失 與破壞，同時要確保應(yīng)急處置措施對涉及的相關(guān)業(yè)務(wù)影響昀小。安全案件被抑制之后，通過 對有關(guān)事件或行為的分析結(jié)果，找出其根源，明確相應(yīng)的補救措施并徹底清除。在確保安全 案件解決后，要及時清理系統(tǒng)、恢復(fù)數(shù)據(jù)、程序、服務(wù)

17、，恢復(fù)工作應(yīng)避免出現(xiàn)誤操作導(dǎo)致數(shù) 據(jù)丟失。網(wǎng)絡(luò)與信息安全案件發(fā)生時，應(yīng)及時向網(wǎng)絡(luò)與信息安全應(yīng)急處置工作組匯報，并在事件 處置工作中作好完整的過程記錄，及時報告處置工作進展情況，保存各相關(guān)系統(tǒng)日志，直至 處置工作結(jié)束。法律保護根據(jù)刑法的相關(guān)規(guī)定，即時固定證據(jù)，并向司法機關(guān)報案。刑法中關(guān)于網(wǎng)絡(luò)信息安全的 罪名主要有以下三種：1）非法侵入計算機信息系統(tǒng)罪，是指違反國家規(guī)定，侵入國家事務(wù)、國防建設(shè)、尖端 科學(xué)技術(shù)領(lǐng)域的計算機信息系統(tǒng)的行為。2）非法獲取計算機信息系統(tǒng)數(shù)據(jù)、非法控制計算機信息系統(tǒng)罪，是指違反國家規(guī)定， 侵入前款規(guī)定以外的計算機信息系統(tǒng)或者采用其他技術(shù)手段，獲取該計算機信息系統(tǒng)中存 儲、處理或者傳輸?shù)臄?shù)據(jù)，或者對該計算機