淺談信息系統(tǒng)在安全技術(shù)防范系統(tǒng)中的應(yīng)用
本文主要論述如何按照信息系統(tǒng)成熟的安全管理模式,來(lái)管理安全技術(shù)防范系統(tǒng)的安全。
信息安全定義及其屬性
根據(jù)國(guó)際標(biāo)準(zhǔn)ISO/IEC27001:2005《信息技術(shù)一安全技術(shù)一信息安全管理體系一要求》中的定義,信息安全是:“保護(hù)信息的保密性、完整性、可用性;另外也包括其他屬性,如:真實(shí)性、可核查性、不可抵賴(lài)性和 可靠性。”
一、保密性。它是指信息不被泄漏給未授權(quán)的個(gè)人、實(shí)體和過(guò)程或不被其使用的特性。也就是說(shuō),確保所傳輸?shù)臄?shù)據(jù)只被其預(yù)定的接收者讀取。保密性的破壞有多種可能,例如,信息的故意泄露或松懈的安全管理。 常用的保密技術(shù)包括:防偵收(使對(duì)手偵收不到有用的信息)、防輻射(防止有用信息以各種途徑輻射出去)、信息加密(在密鑰的控制下,用加密算法對(duì)信息進(jìn)行加密處理)、物理保密(利用各種物理方法保護(hù)信息不被泄露)。
二、完整性。它是指“保護(hù)資產(chǎn)的正確和完整的特性”。簡(jiǎn)單地說(shuō),就是確保接收到的數(shù)據(jù)就是發(fā)送的數(shù)據(jù)。數(shù)據(jù)不應(yīng)該被改變,這需要某種方法去進(jìn)行驗(yàn)證。確保數(shù)據(jù)完整性的技術(shù)包括:消息源的不可抵賴(lài)、防 火墻系統(tǒng)、通信安全、入侵檢測(cè)系統(tǒng)。
三、可用性。它是指“需要時(shí),授權(quán)實(shí)體可以訪問(wèn)和使用的特性”。它確保數(shù)據(jù)在需要時(shí)可以使用。盡管傳統(tǒng)上認(rèn)為可用性并不屬于信息安全的范疇,但隨著拒絕服務(wù)攻擊的逐漸盛行,要求數(shù)據(jù)總能保持可用性就 顯得很關(guān)鍵了。確保可用性的技術(shù)包括:磁盤(pán)和系統(tǒng)的容錯(cuò)及備份、可接受的登錄及進(jìn)程性能、可靠的功能 性的安全進(jìn)程和機(jī)制。
四、其他屬性及目標(biāo)。
信息安全也包括一些其他特性:真實(shí)性一般是指對(duì)信息的來(lái)源進(jìn)行 判斷,能對(duì)偽造來(lái)源的信息予以鑒別;可核查性是指系統(tǒng)實(shí)體的行為可以被獨(dú)一無(wú)二地追溯到該實(shí)體的特性,這個(gè)特性就是要求該實(shí)體對(duì)其行為負(fù)責(zé),可核查性也為探測(cè)和調(diào)查安全違規(guī)事件提供了可能性;不可抵賴(lài)性是指建立有效的責(zé)任機(jī)制,防止用戶否認(rèn)其行為,這一點(diǎn)在電子商務(wù)中是極其重要的;可靠性是指系統(tǒng)在規(guī)定的時(shí)間和給定的條件下,無(wú)故障完成規(guī)定功能的概率,通常用平均故障間隔時(shí)間來(lái)度量。
保密性、完整性和可用性是信息安全最為關(guān)注的三個(gè)屬性,因此這三個(gè)特性也經(jīng)常被稱(chēng)為信息安全三元組,這也是我們安全技術(shù)防范系統(tǒng)安全管理所強(qiáng)調(diào)的目標(biāo)。
安全技術(shù)防范,系統(tǒng)安全管理體系
安全管理體系主要涉及安全管理機(jī)構(gòu)、安全管理制度、安全管理技術(shù)和安全教育培訓(xùn)等方面。通過(guò)組建完整的信息網(wǎng)絡(luò)安全管理機(jī)構(gòu)和設(shè)置安全管理人員,規(guī)劃安全策略、確定安全管理機(jī)制、明確安全管理原則和完善安全管理措施,制定嚴(yán)格的安全管理制度,合理地協(xié)調(diào)法律、技術(shù)和管理三種因素,實(shí)現(xiàn)對(duì)系統(tǒng)安全管理的科學(xué)化、系統(tǒng)化和規(guī)范化,達(dá)到保障安全的目的。
一個(gè)完善的安全技術(shù)防范系統(tǒng)的安全管理體系通常具體包含以下幾個(gè)方面:
一、落實(shí)安全管理機(jī)構(gòu)及安全管理人員。
二、制定安全管理政策和制度。
三、實(shí)施風(fēng)險(xiǎn)管理,包括風(fēng)險(xiǎn)管理要求和策略、風(fēng)險(xiǎn)分析和評(píng)估、風(fēng)險(xiǎn)控制、基于風(fēng)險(xiǎn)的決策及風(fēng)險(xiǎn)評(píng)估的管理。其具體要素是評(píng)估系統(tǒng)保密要求、系統(tǒng)威脅的識(shí)別和分析等。
四、環(huán)境和資源管理,包括環(huán)境安全管理和資源管理。
五、運(yùn)行和維護(hù)管理,包括用戶管理、運(yùn)行操作管理、運(yùn)行維護(hù)管理、外包服務(wù)管理、有關(guān)安全機(jī)制保障、安個(gè)集中管理。
六、業(yè)務(wù)持續(xù)性管理,包括備份與恢復(fù)、安全時(shí)間處理、應(yīng)急處理。
七、監(jiān)督和檢查管理,包括檢查相關(guān)法律要求的落實(shí)、依從性管理、 審計(jì)及監(jiān)管控制、責(zé)任認(rèn)定。
八、生存周期管理,包括規(guī)劃和立項(xiàng)管理、建設(shè)過(guò)程管理、系統(tǒng)啟用和終止管理。
人員安全管理
安全技術(shù)防范系統(tǒng)的安全管理是一個(gè)整體的系統(tǒng)問(wèn)題,不是僅通過(guò)技術(shù)手段就可以解決的,它的安全管理同樣適用于常規(guī)的人防、物防和技防等安全防范范疇。安全技術(shù)防范系統(tǒng)本身的“技防”問(wèn)題,如防拆、防破壞功能,視頻丟失報(bào)警功能、暴力開(kāi)門(mén)報(bào)警功能等,這些在一個(gè)安全技術(shù)防范系統(tǒng)的設(shè)計(jì)、施工過(guò)程中一般已經(jīng)考慮的非常完善了,而“物防”問(wèn)題是安全防范的基礎(chǔ),通常也比較容易實(shí)現(xiàn),因此這兩個(gè)問(wèn)題本文不作具體闡述,在此主要討論如何作好安全技術(shù)防范系統(tǒng)的“人防”管理。人員安全管理應(yīng)主要做好安全組織、崗位考核與培訓(xùn)、離崗人員安全管理工作。
一、成立安全組織。單位應(yīng)成立安全領(lǐng)導(dǎo)小組,負(fù)責(zé)本單位的安全保衛(wèi)工作,并履行相應(yīng)職能。
(一)安全管理的領(lǐng)導(dǎo)職能:依據(jù)國(guó)家有關(guān)法律、法規(guī)、政策及規(guī)范,對(duì)本單位安全負(fù)全面領(lǐng)導(dǎo)責(zé)任,制定安全管理制度,組織落實(shí)各級(jí)安全責(zé)任 制。
(二)安全監(jiān)督的管理職能:領(lǐng)導(dǎo)并支持安全管理人員或部門(mén)的監(jiān)督檢查工作。
二、崗位考核與培訓(xùn)。安全技術(shù)防范系統(tǒng)的各崗位人員的安全管理,應(yīng)根據(jù)其關(guān)鍵程度建立相應(yīng)的管理要求。
(一)所有管理、操作人員應(yīng)具有基本條件與較高的素質(zhì)。
(二)應(yīng)經(jīng)過(guò)安全教育、培訓(xùn),包括知識(shí)、技能、意識(shí)三個(gè)階段的教育,不僅要使操作者掌握安全操作知識(shí), 而且能正確、認(rèn)真地在操作過(guò)程中,表現(xiàn)出安全的行為。
(三)在培訓(xùn)中應(yīng)將相關(guān)專(zhuān)業(yè)知識(shí)融合于安全教育中,讓相關(guān)崗位人員理解整個(gè)系統(tǒng)的架構(gòu)與基本功能、 系統(tǒng)管理和維護(hù)、重要設(shè)備的使用和維護(hù)、系統(tǒng)故障應(yīng)急措施,還應(yīng)注重系統(tǒng)操作上機(jī)實(shí)踐。
(四)安全技術(shù)防范系統(tǒng)竣工交接時(shí),應(yīng)向業(yè)主提供完整的工程驗(yàn)收?qǐng)?bào)告、完工圖紙,軟、硬件文檔,操作、 維護(hù)手冊(cè),設(shè)備清單等,應(yīng)將這部分 資料的理解作為重點(diǎn)培訓(xùn)內(nèi)容。
三、離崗人員安全管理。工作人員離職之后仍對(duì)其在任職期間接觸、知悉的屬于本單位或者雖屬于第三方但本單位承諾或負(fù)有保密義務(wù)的秘密信息,承擔(dān)如同任職期間一樣的保密義務(wù)和不擅自使用的義務(wù),直到該秘密信息成為公開(kāi)信息,而無(wú)論離職人員因何種原因離職。國(guó)家行政機(jī)關(guān)、金融行業(yè)等重要、敏感單位,可依據(jù) 《保守國(guó)家秘密法》規(guī)定,根據(jù)涉密崗位及涉密程度,按照核心涉密人員、重要涉密人員和一般涉密人員,實(shí)行分類(lèi)管理,逐步脫密。
筆者在多年從事安全技術(shù)防范工作中,經(jīng)常碰到泄密案件,總結(jié)后發(fā)現(xiàn)一個(gè)安裝了安全技術(shù)防范系統(tǒng)的單位,單純的從外部入侵是極少數(shù)的,而且外部入侵都是暴力入侵,純技術(shù)入侵微乎其微,多數(shù)是內(nèi)外勾結(jié),或 者內(nèi)部工作人員獨(dú)立實(shí)施。如某地某工廠百萬(wàn)現(xiàn)金被盜案,就是工廠內(nèi)保暴力破壞了財(cái)務(wù)室的聯(lián)網(wǎng)防盜報(bào)警系統(tǒng)監(jiān)守自盜。這對(duì)我們從業(yè)者有極大的警示作用。經(jīng)調(diào)看該廠聯(lián)網(wǎng)報(bào)警系統(tǒng)歷史報(bào)警事件記錄,詢問(wèn)應(yīng)急隊(duì)員和當(dāng)班保安員后,發(fā)現(xiàn)該報(bào)警系統(tǒng)數(shù)日前就有2次警號(hào)故障信息、1次防拆報(bào)警信息,當(dāng)晚應(yīng)急隊(duì)員接到聯(lián)網(wǎng)報(bào)警中心警情后趕到該廠門(mén)口,但該廠保安員未讓其入廠檢查,告知其保安隊(duì)長(zhǎng)就在報(bào)警現(xiàn)場(chǎng),沒(méi)有警情發(fā)生,應(yīng)急隊(duì)員隨之撤離,案情頓時(shí)明了,辦案民警立即控制整個(gè)保安隊(duì)。經(jīng)審訊后案犯交待,該廠保安隊(duì)長(zhǎng)長(zhǎng)期在該廠工作,得到工廠領(lǐng)導(dǎo)和員工信任,但其一直存有盜取工資款的預(yù)謀,案發(fā)前數(shù)日曾兩次嘗試剪斷報(bào)警系統(tǒng)的警號(hào),發(fā)現(xiàn)剪斷線后警號(hào)不響,以為警號(hào)故障,案發(fā)前日其隨財(cái)務(wù)人員從銀行取到現(xiàn)金后,一直在財(cái)務(wù)室負(fù)責(zé)發(fā)放工資時(shí)的現(xiàn)場(chǎng)安全保衛(wèi)工作,知道當(dāng)天工資沒(méi)有全部發(fā)放完,現(xiàn)金晚上會(huì)存放在財(cái)務(wù)室保險(xiǎn)柜中,便決定當(dāng)晚盜取現(xiàn)金。該案犯剪斷警號(hào)線后進(jìn)入財(cái)務(wù)室,馬上將報(bào)警系統(tǒng)的紅外線探測(cè)器控制線扯斷,以為報(bào)警系統(tǒng)已經(jīng)被破壞,當(dāng)晚財(cái)務(wù)室的報(bào)警系統(tǒng)沒(méi)有開(kāi)機(jī)布防,本不會(huì)發(fā)生報(bào)警,但是他一扯斷線,殊不知報(bào)警系統(tǒng)的防拆功能啟動(dòng)了,立即將警情傳到了聯(lián)網(wǎng)報(bào)警中心,中心通知應(yīng)急隊(duì)員出警后,因未能進(jìn)入現(xiàn)場(chǎng)檢查,該隊(duì)長(zhǎng)最終得逞。
此案例中該廠安全管理方面存在多處重大漏洞:財(cái)務(wù)室未做好物理隔斷,墻壁僅修到吊頂處,未修到樓板; 財(cái)務(wù)人員違例將巨額現(xiàn)金存放在無(wú)人值守的財(cái)務(wù)室;財(cái)務(wù)室當(dāng)晚的報(bào)警 系統(tǒng)未開(kāi)機(jī)布防;應(yīng)急隊(duì)員和該廠門(mén) 衛(wèi)警惕性不高,當(dāng)晚未能進(jìn)入現(xiàn)場(chǎng)檢查;報(bào)警系統(tǒng)的警號(hào)未使用防剪警號(hào)等。此案例中的聯(lián)網(wǎng)報(bào)警系統(tǒng)未充分 發(fā)揮作用,如果不是最后關(guān)頭防拆功能啟動(dòng),我們會(huì)連案發(fā)時(shí)的具體時(shí)間都不會(huì)知道,更別說(shuō)出警和控制警情 了,由此可見(jiàn),本文論述的建立完善的安全管理體系的重要性,以及“人 技結(jié)合”是管理和使用好安全技術(shù)防范系統(tǒng)的必然選擇。
無(wú)數(shù)案例告訴我們,信息安全不僅是技術(shù)問(wèn)題,更主要的是管理問(wèn)題,俗話說(shuō):“三分技術(shù),七分管理”,任何技術(shù)措施只能起到增強(qiáng)信息安全防范能力的作用,只有管理到位,也就是說(shuō)管好“人”,包括是否建立了動(dòng)態(tài)的閉環(huán)管理流程,能否對(duì)系統(tǒng)實(shí)施有效的管理和控制,才是保障系統(tǒng)安全的關(guān)鍵。
◎ 上一篇:如何緩解保安人員流失,提高保安人員素質(zhì)
- 相關(guān)資訊
- 公安機(jī)關(guān)督導(dǎo)檢查廣州保安公司槍彈管控、疫情防控工作
- 保安禮儀常識(shí)有哪些
- 廣州保安服務(wù)公司學(xué)習(xí)貫徹《中國(guó)共產(chǎn)黨支部工作條例(試行)》專(zhuān)題培訓(xùn)會(huì)議
- 晉江市公安局召開(kāi)保安工作總結(jié)暨表彰會(huì)助推晉江保安實(shí)現(xiàn)跨越式發(fā)展
- 平安地鐵、溫馨交通的守護(hù)者——廣州保安服務(wù)公司兩節(jié)安保紀(jì)實(shí)
- 全心全意為業(yè)主服務(wù)—— 社區(qū)保安一線保安員工作紀(jì)實(shí)
- 物業(yè)保安冬季安全需要注意哪些事
- 廣州保安公司對(duì)監(jiān)控管理的情況
- 保安員需要企業(yè)領(lǐng)導(dǎo)者的關(guān)懷和關(guān)愛(ài)
- 廣州保安舉辦武裝押運(yùn)崗位培訓(xùn)班
- 按服務(wù)類(lèi)型分類(lèi)
- 企事業(yè)單位保安服務(wù)
- 機(jī)關(guān)團(tuán)體保安服務(wù)
- 大型活動(dòng)保安服務(wù)
- 社區(qū)保安服務(wù)
- 學(xué)校保安服務(wù)
- 物業(yè)保安服務(wù)
- 按服務(wù)地區(qū)分類(lèi)
- 東莞保安服務(wù)
- 廣州保安服務(wù)
- 佛山保安服務(wù)
- 惠州保安服務(wù)
- 湛江保安服務(wù)
- 中山保安服務(wù)
- 其它地區(qū)服務(wù)
- 技術(shù)防范服務(wù)分類(lèi)
- 聯(lián)網(wǎng)報(bào)警服務(wù)
- 安防工程服務(wù)
- 遠(yuǎn)程監(jiān)控報(bào)警工程
- 防盜監(jiān)控
- 家居安防
- 智能安檢
- 其它服務(wù)
- 保鏢服務(wù)
- 安全風(fēng)險(xiǎn)評(píng)估
- 商務(wù)調(diào)查
- 保安咨詢服務(wù)
- 物防
- 犬防
- 全國(guó)服務(wù)熱線:400-865-5850
- 手機(jī):13928866875
- 郵箱:HLB@deanbaoan.com
- 網(wǎng)址:www.ugkyr.cn