影响网络信息安全的组织因素分析
摘要:针对网络信息安全的威胁和造成的危害,本论文对影响网络安全的因素进行了分析探讨,在分析了我国网络信息安全现状的基础上,将组织理论和网络信息安全结合起来详细探讨了影响网络信息安全的组织因素,并重点具体的研究了网络信息安全管理的组织对策,
对于进一步提高网络信息安全管理应用水平具有一定指导意义。 关键词:网络工程;信息安全;组织因素
1我国网络信息安全现状概述
随着互联网产业的发展,人们对信息的获取方式正逐步从传统的媒介转向互联网,越来越多的人把访问互联网作为日常生活的一部分。网络上各种新业务也相继兴起,如电子商务、数字货币、网络银行以及各种专用网的建设,这使得网络信息的安全与保密问题显得越来越重要,我国政府也较早地注意并开始了对网络经济信息安全的保护,如从20世纪80年代中期就开始了对计算机网络的安全保密系统的研究,并使之在各信息系统中陆续推广应用,其中有些技术已赶上国际同类产品的水平,使我国的信息安全保密技术的水平推进到新的高度。具体来说,近年来我国政府保护网络经济信息安全工作包括以
下几方面:
(1)对基础信息网络与重要信息的安全进行了检查。对各单位,包括政府机构、高等院校、社会组织和企业的安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务
国产化情况、安全教育培训情况等进行了检查,加强了各单位对信息
网络和信息安全的重视和建设。
(2)开展了信息安全法律和标准化建设工作,加强教育普及和宣传工作。定期组织各单位成员、院校师生、企业员工等学习《计算机信息系统安全保护条例》、《互联网安全保护技术措施规定》、《计算机信息网络国际互联网安全保护管理办法》及各种网络安全管理制
度,使广大用户和群众加强了信息安全防范意识。
(3)开展了信息化密码保障和网络信任体系的建设。围绕信息化战略的实施,加强网络信任体系的建设,切实做好信息安全保障工
作,使国家信息化建设事业健康有序发展。
(4)开展了信息安全应急协调和处置工作,很多省市制定了信息安全事件应急预案,研究制订网络与信息安全事件应急工作规划、计划和政策,协调推进网络与信息安全事件应急工作机制和体系建
设,组织开展应急处置工作。
(5)开展了信息安全风险评估。2006年3月16日,国务院信息化工作办公室在昆明召开了《关于开展信息安全风险评估工作的意见》宣贯会,明确了国家对风险评估工作的目标与要求以及今后企业
如何为用户提供风险评估服务的一些标准。
2
影响网络信息安全的组织因素分析
2.1影响网络信息安全的组织因素
根据组织结构的定义,结合IAEA组织结构分类和网络环境下信息安全管理组织结构设计原则,本文将影响组织结构的因素分为信
息安全工作组织、权力与责任、交流、资源。
(1)信息安全工作组织。为了保障信息安全工作,很多组织设置了网络管理或信息安全管理部门。尽管如此在调研中发现这些组织仍然受到信息安全问题的困扰,原因是存在以下问题:①辅助信息安全工作的配套设施不完备;②未配备从事信息安全管理工作的专业人
员或不足;③未设置信息安全工作的监管部门。
(2)权力与职责。为了提高网络信息系统的安全性能,组织就要明确规定员工的职责并授权。职责就是员工从事工作本身的责任,组织中的个体必须明白自己的职责,即明白自己对信息系统安全所起到的作用。工作中的疏忽大意或侥幸心理可能会引起大的事故,造成严重的后果。授权是赋予员工一定的权限或权力,并赋予相应的责任,这样能更好地发挥员工的主观能动性,提高信息系统的安全。对于不同的个人或部门,应明确地划定其权力范围及相应的责任,现代组织常常出现权责不明的问题:出了问题大家都不管;出了成绩大家都抢功。这不但使组织的奖惩制度无法实施,还会极大地影响到部门之间,员工之间的团队合作精神,使组织陷于内乱,信息安全问题更无法谈起。只有权力与责任相符,
才能更好地达到保障网络信息安全的目的。
(3)交流。组织中的交流是指信息或思想在人群中的传递或交换的过程。通过交流可以把员工联系起来,调动起来为实现组织的目标而努力。交流是协调各个体、各要素、并使组织成为一个整体的凝聚剂。
交流的分类有正式交流和非正式交流,书面交流和口头交流,组织内部交流和组织之间的交流等。影响交流效果的因素有:①交流工具的先进性,交流工具通常指电话、网络等,是信息交换的硬件设备,交流工具越先进就越有利于比较方便快捷地达到交流的目的;②交流语言使用质量,交流语言使用质量是指理解上不能有障碍,表达要准确清晰,达到基本交流的目的。语言使用得当有利于工作顺利的进行,如上下级之间交流中,领导注意自己的言语,以人为本将激发员工的工作热情。所以语言的可理解性和恰当性影响交流的效果,从而有利于保障网络信息系统的安全;③交流时间和空间的适合度,交流时间和空间的适合度指组织提供合适的空间和安排适当的时间让大家交流。特别是定期工作经验交流,有利于员工间共享网络信息安
全知识,增进信息安全问题处理能力。
(4)资源。网络信息安全的保障需要不断的技术开发和设备的更新,以适用技术迅速发展的需要,比如自主网络安全技术的研发、软件的升级、更大容量和更快速度硬件上市、病毒库的升级、机房条件的改善以及信息管理员的培训等等,都需要组织提供充足的时间资源、人力资源、物资资源、财力资源支持。组织资源的短缺或配置不合理,必然会造成网络信息系统运行的失衡,给网络信息的安全带来不确定性,引发信息安全问题。影响资源的主要因素有:① 资源的充沛性;②
资源配置的合理性。
2.2网络信息安全管理的组织对策
网络信息安全工作中的组织管理主要有:信息安全风险制度的
建立、安全策略的制订、行为的规范、监督管理的执行等方面。
(1)信息安全风险制度的建立。制定网络建设方案、机房管理制度、安全保密规定、口令管理制度、网络安全指南、用户上网使用手册、系统操作规程、应急响应方案、安全防护记录等,一系列的信息安全制度是保证网络信息的核心部门高安全、高可靠地运作的前提条件。
①风险管理的责任机制。在信息安全风险管理工作中,要切实执行“一把手“责任制,各级领导要对信息安全风险有全面而深刻的认识,在思想上予以高度重视,将对信息安全风险管理工作的认识提高到关乎国家金融稳定、经济健康发展的高度,坚持局部服从全局的信息安全风险管理原则,将信息安全风险管理工作放在重要地位,有效推进,合理分工。信息安全风险管理工作要层层落实职责和分工,切实执行信息安全风险管理措施,保证信息安全风险管理工作有条不紊地开展。同时也必须认清,信息安全风险管理工作不是一墩而就的,必须长期坚持不懈地予以贯彻;②风险管理的预防机制。重视事前管理,抓好风险的预防工作是信息安全风险控制预防机制的核心内容。要想实现有效的风险预防,就要对关键信息系统所涉及的各个环节和部分进行严格的风险检查和准确的风险评估。检查和评估工作必须定期进行,可以采取内部检查评估与外部检查评估相结合的方式。外部检查评估可以是不同部门或不同行业之间的相互检查评估,也可以通过采购第三方的专业评估的方式进行,切实保证检查和评估的有效性和准确性。检查和评估应有合规的流程管理,注重检查和评估结果,
确保检查和评估工作并非流于形式;③风险管理的通报机制。实施信息安全的风险管理通报机制,能够有效地减少同类风险的再次发生,是事前管控,防范风险的有效手段。由于我国目前信息化建设的水平较国外有一定差距,采用的产品和技术都比较集中。因而在一处出现过的事件,很有可能在其他行业也存在类似的隐患。风险管理的通报机制,有助于尚未出现问题的行业,共同总结经验教训,及时认识风险隐患,尽早发现类似风险,快速采取有针对性的事前防范措施;④风险管理的应急机制。我国信息化建设已经达到了网络全面覆盖、应用群组众多,数据高度集中的阶段,数据中心规模急速增长。数据中心规模越大,风险也就越集中,信息安全事件所产生的危害也就越大。有效的应急机制是降低和化解此类风险的必备手段。针对关键的应用系统群组,乃至针对整个数据中心的突发事件必须具有可操作性很强的应急方案,并且还要有成熟的应急反应体系,能在事件发生之时,合理决策、落实执行应急方案,才能保障在最短的时间内恢复信息安
全运行,减少损失,降低事件给国家金融和经济稳定所造成的危害。
(2)信息安全的管理构建策略。即对安全区域访问规则的正式陈述,任何获准访问安全区域的技术和信息管理的人员,都必须遵守这些规则。安全策略从宏观的角度反映企业整体的安全思想和观念,是制定具体策略规划的基础;安全策略对于组织的网络信息安全建设起着举足轻重的作用,所有信息安全建设的后续工作都是围绕安全策略展开的。同时,随着网络拓扑结构、网络应用以及网络安全技术的不断发
展,安全策略的制订和实施应是一个动态的延续过程。
信息安全风险管理策略,应在信息安全风险管理原则的指导下制定。风险管理策略应重点关注涉及信息技术风险的所有组织和人员、所有设备和设施、所有流程和环节。针对不同信息安全领域、不同业务、不同系统、不同要求,具体的风险管理策略也不尽相同,管理策略涉及以下方面:①风险评估和预警策略:使用科学的分析方法、定期对不同重要级别的系统进行不同频度的风险评估工作,通过定量和定性的评估方法,揭示出风险的来源、风险的大小;②风险规避策略:针对定性或者定量评估的结果,进行有针对性的整改,通过降低风险发生的可能性和降低风险发生后的影响等手段,努力在风险发生前规避风险或降低风险大小,并对整改成果进行再评估;③风险应急管理策略:针对残留风险评估结果,尤其是其中的重点风险,制定有针对性的应急预案,通过有效的应急处置,争取在风险事件发生后,快速地恢复生产运行,控制风险的影响范围和影响程度;④风险审计管理策略:IT审计的目标是通过对所有IT规划、建设、应用、服务、安全等全方位的审计,充分识别与评估残余IT风险,进一步完善风险控制措施,实现IT系统的可用性、安全性、完整性、有效性,最终达到强化信息安全风险管理内部控制的目的;⑤内部风险管理策略:包括信息安全风险管理的组织架构及职能、岗位及职责、密码和授权、发布和保密、系统开发和维护、变更实施和审核、操作和流程、设施和环境、信息资产、人员、问题和事件、访问控制、备份和冗余、应急处置,业务连续性等方面的一系列的规章和规范;⑥外部风险管
理策略:通过详细的客户使用手册,控制客户端风险,保证业务的交付,通过有效的第三方技术方案和系统接口管理办法等控制来源于第
三方合作伙伴的信息技术风险。
(3)信息安全的监督管理。监督是一个管理控制的过程,是对各项活动的监视,从而保证各项行动按计划进行,并且能够纠正执行过程中各种显著偏差,是组织和个人顺利达到目标不可缺少的因素。对信息安全重要相关的操作实行合理的监督,确保关键操作的正确性,可以降低信息安全问题的发生率。而且,信息安全的监督对杜绝违规、违章操作,发现网络信息系统隐患,及时整改,督促组织建立健全各项安全规章制度,落实各项信息安全防范措施具有重大作用:①信息系统投产上线管理操作规范,基本内容应该包括投产前的验收、投产前的风险收益评估、投产前的试运行、投产的环境准备、人员准备、制度准备、投产的审批、投产正式上线和投产后评价等;②信息系统管理维护操作规范,基本内容应该包括系统管理维护受理、系统管理维护会诊、系统管理维护方案审批、系统管理维护方案实验、系统管理维护方案实施记录和报告、系统管理维护结果检测和评价等;③信息系统变更管理操作规范,基本内容应该包括系统变更发起、制定系统变更方案、审核和批准系统变更方案、系统变更方案实施、变更实施失败回退处理、变更成功结果发布、变更过程后检查和评价等;④信息系统访问控制管理操作规范,基本内容应该包括:访问控制对象的设置和管理、访问控制规则的设置、谁可以访问和访问的深度和广度、谁有权利批准访问以及超范围的访问、访问时应遵守的程
序、访问的记录、访问的监督以及后续的检查;⑤信息系统运营环境管理操作规范,基本内容应该包括:环境的配置标准及验收、环境的监控管理、环境变化的应急管理、出入环境的人员管理和环境软硬件设备的管理;⑥信息系统业务连续性管理操作规范,基本内容应该包括:业务连续性(含备份、应急)计划、业务影响分析、应急预案和应急演练、备份和灾备中心管理等;⑦信息系统运营服务外包管理操作规范,基本内容应该包括:外包服务商的资质及资质审定、外包服务商的招标、中标外包服务商的协议条款规定及协议签订、内部人员配合外包服务商的有关要求、对外包服务商进行外包服务时的监督、对
外包服务商经营状况的监督等。
3结束语
网络信息系统是一个非常复杂人-机系统,影响因素众多,本文结合组织理论,利用组织因素的观点详细分析了影响网络信息的安全管理方面的组织因素,并据此提出了具体的组织管理对策,以解决网络信息安全的威胁,对于进一步提高网络信息安全的管理应用水平
具有一定借鉴意义。
参考文献:
[1]姜婷婷.浅谈我国网络信息安全保险的开发[J].情报理论与实践
,2003(4).
[2]冯登国.国内外信息安全研究现状及其发展趋势[J].专家论坛
,2001(1).
[3]刘春年,高家望.信息安全产业与保险业互动双赢的可能性分
析[J].图书情报知识,2002(1).