【正文】 政策或標(biāo)準(zhǔn)，因此需要借鑒一些具有公信力的國內(nèi)、國際標(biāo)準(zhǔn)?？梢詤⒄障嚓P(guān)的國內(nèi)、國際標(biāo)準(zhǔn)審計(jì)，包括在信息和相關(guān)技術(shù)審計(jì)方面的COBIT，以及在信息安全方面權(quán)威的標(biāo)準(zhǔn)ISO27001等，從控制點(diǎn)的角度出發(fā)來對信息安全進(jìn)行審計(jì)，從而保證對信息安全方面的控制符合國內(nèi)、國際的標(biāo)準(zhǔn)。n 從事信息安全審計(jì)的人員需要相應(yīng)的專業(yè)技能培訓(xùn)，由于信息安全方面審計(jì)的特殊性，對于參與審計(jì)的相關(guān)人員需要組織必要的培訓(xùn)，如果有可能需要盡量選用一些獲得認(rèn)證資格的審計(jì)人員。n 可以有效的利用第三方進(jìn)行信息安全審計(jì)，但同時必須進(jìn)行嚴(yán)格的控制第三方審計(jì)組織，尤其是一些國際上提供相關(guān)服務(wù)的機(jī)構(gòu)，由于其擁有先進(jìn)的審計(jì)方法，同時從企業(yè)外部公正獨(dú)立的角度開展工作，因此對于企業(yè)的信息安全審計(jì)是一種有效的補(bǔ)充手段。但是，由于信息安全審計(jì)工作中將接觸大量企業(yè)的信息安全敏感資料，因此對于將信息安全審計(jì)項(xiàng)目外包給第三方的情況必須有嚴(yán)格的控制措施。三、信息安全風(fēng)險評估信息安全風(fēng)險評估的目標(biāo)是了解支撐企業(yè)關(guān)鍵業(yè)務(wù)運(yùn)營的信息系統(tǒng)的安全狀況，評估核心信息資產(chǎn)所面臨的風(fēng)險，發(fā)現(xiàn)信息安全實(shí)踐中的薄弱環(huán)節(jié)和改進(jìn)機(jī)會，明確信息系統(tǒng)的安全需求，提出信息安全控制措施改進(jìn)方案。信息系統(tǒng)安全風(fēng)險評估的主要工作內(nèi)容有：n 識別評估范圍內(nèi)的信息資產(chǎn)，用合適的價值尺度對其價值進(jìn)行估計(jì)，描述信息資產(chǎn)對業(yè)務(wù)的關(guān)鍵程度和敏感程度，初步確定信息資產(chǎn)應(yīng)滿足的安全保護(hù)水平目標(biāo)；n 采用現(xiàn)場檢查，與相關(guān)人員面談，問卷調(diào)查，文檔收集和查閱，技術(shù)測試等方法，收集和評估該信息系統(tǒng)在安全政策標(biāo)準(zhǔn)，物理安全，人員安全，運(yùn)營安全，系統(tǒng)安全，網(wǎng)絡(luò)安全等方面的控制措施和薄弱點(diǎn)；n 根據(jù)收集的資料，進(jìn)行威脅分析、薄弱點(diǎn)分析、業(yè)務(wù)影響分析、風(fēng)險分析，確定信息資產(chǎn)在機(jī)密性、完整性、可用性、可審計(jì)性、不可否認(rèn)性方面存在的風(fēng)險；n 根據(jù)初步的風(fēng)險分析結(jié)果，選擇可行的安全控制措施，評估和接受殘余風(fēng)險；n 編寫和提交最終的風(fēng)險評估報告。風(fēng)險評估規(guī)范應(yīng)該明確定義風(fēng)險評估的操作步驟，包括每一個步驟的工作內(nèi)容，使用的方法、技術(shù)和工具，以便系統(tǒng)地從威脅、薄弱點(diǎn)、影響等方面來識別和評估風(fēng)險。信息資產(chǎn)安全管理規(guī)范涉及信息資產(chǎn)在獲取、使用、維護(hù)、管理、處置的整個生命周期中采用合適的控制手段，確保信息資產(chǎn)的安全。其內(nèi)容應(yīng)包括：信息資產(chǎn)的范圍和責(zé)任人；信息資產(chǎn)清冊的編制和維護(hù)；信息資產(chǎn)的分類分級；不同保護(hù)級別的信息在獲取、復(fù)制、存儲、傳送和銷毀等活動時，應(yīng)采取的控制和保護(hù)措施，以滿足各級信息資產(chǎn)的保護(hù)要求。信息安全風(fēng)險評估的主要收益包括：n 明確核心信息資產(chǎn)面臨的主要風(fēng)險，信息安全風(fēng)險已經(jīng)成為企業(yè)面臨的一個重要風(fēng)險。通過對支撐關(guān)鍵業(yè)務(wù)運(yùn)營的信息系統(tǒng)進(jìn)行全面的、細(xì)致的風(fēng)險分析，使得各級管理部門和業(yè)務(wù)部門對信息安全方面存在的風(fēng)險有一個更清晰的認(rèn)識，為解決信息安全方面存在的問題提供有價值的建議。n 平衡信息安全風(fēng)險和投入，風(fēng)險分析明確了核心信息資產(chǎn)面臨的威脅及潛在的損失，確定了這些核心資產(chǎn)的安全保護(hù)需求，為平衡安全風(fēng)險和安全投入提供了重要的依據(jù)，以最少的安全投入獲得最大的安全回報。n 培養(yǎng)信息安全風(fēng)險評估隊(duì)伍，通過與外部服務(wù)供應(yīng)商合作，實(shí)施業(yè)務(wù)信息系統(tǒng)的風(fēng)險評估，掌握信息安全風(fēng)險評估的過程、方法和工具，積累實(shí)踐經(jīng)驗(yàn)，在內(nèi)部培養(yǎng)一批具有信息安全風(fēng)險評估技能的人員，為將來在全企業(yè)范圍內(nèi)對信息系統(tǒng)進(jìn)行風(fēng)險評估準(zhǔn)備人力資源。. 企業(yè)信息安全運(yùn)營體系的建設(shè)企業(yè)安全運(yùn)營包含威脅分析與預(yù)警，安全狀態(tài)和事件的監(jiān)控，安全事件或事故的響應(yīng)，以及基于安全管控目標(biāo)的操作行為和日志審計(jì)系統(tǒng)。這些安全運(yùn)營的任務(wù)主要可通過安全事件監(jiān)控、響應(yīng)、審計(jì)和相應(yīng)的安全策略體系共同完成。安全運(yùn)營體系包含服務(wù)于企業(yè)信息安全管理戰(zhàn)略的管控目標(biāo)和策略及相關(guān)的技術(shù)支持手段，企業(yè)信息安全運(yùn)營體系的建設(shè)通常體現(xiàn)為安全運(yùn)營中心的建設(shè)。隨著企業(yè)信息系統(tǒng)的建設(shè)，必將部署越來越多的安全產(chǎn)品，如入侵檢測系統(tǒng)，防火墻，防病毒等，這些產(chǎn)品產(chǎn)生的大量安全事件分散在各個不同的安全系統(tǒng)中，大大增加了日常安全事件維護(hù)和判斷的復(fù)雜度并消耗了大量的安全維護(hù)人員。與此同時如果要對系統(tǒng)（主機(jī)、網(wǎng)絡(luò)、應(yīng)用、服務(wù)）有全面的了解和控制，就一定要使用完善的日志系統(tǒng)。要記錄的內(nèi)容是針對某一個特定系統(tǒng)的事件，包括誰、做什么、何時、何地、為什么五個方面的內(nèi)容?；局С窒到y(tǒng)和關(guān)鍵系統(tǒng)必須要使用日志功能，日志記錄的事件類型由系統(tǒng)擁有者和系統(tǒng)管理員決定。各個系統(tǒng)每天也在產(chǎn)生著大量的日志，需要耗費(fèi)大量的人力來維護(hù)。因此，通過建立安全運(yùn)行管理中心來解決以上問題，明確信息系統(tǒng)中需要受到監(jiān)控保護(hù)的對象，并建立相應(yīng)的事件采集系統(tǒng)、事件收集匯總存儲系統(tǒng)以及關(guān)聯(lián)性分析系統(tǒng)并建立定期的針對某些事件信息數(shù)據(jù)進(jìn)行安全審計(jì)的機(jī)制。確保目前采用的所有的安全產(chǎn)品和解決方案的有效性。集中發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)和應(yīng)用中用戶行為的違規(guī)問題，根據(jù)既定策略識別非授權(quán)訪問、入侵等現(xiàn)象，并進(jìn)行定性和定量的分析。通過對受控對象的活動進(jìn)行安全審計(jì)，為系統(tǒng)、網(wǎng)絡(luò)、安全管理人員及高層管理人員提供一個監(jiān)督、檢查當(dāng)前信息系統(tǒng)運(yùn)行狀況的有效手段。規(guī)劃實(shí)施集中統(tǒng)一的安全運(yùn)行管理中心，將分散在各信息安全監(jiān)控基礎(chǔ)設(shè)施管理系統(tǒng)中的各類事件數(shù)據(jù)信息統(tǒng)一收集匯總并進(jìn)行必要的格式轉(zhuǎn)換，將事件數(shù)據(jù)集中到一個統(tǒng)一的事件數(shù)據(jù)庫中，并實(shí)現(xiàn)統(tǒng)一監(jiān)控管理。同時，也要建立初步的監(jiān)控信息知識庫和監(jiān)控關(guān)聯(lián)性分析引擎。在建立了安全運(yùn)行管理中心之后，會產(chǎn)生大量的安全事件相關(guān)信息，針對這些事件信息為了能夠支持業(yè)務(wù)上、系統(tǒng)性能上、獨(dú)立的系統(tǒng)安全上、系統(tǒng)開發(fā)上、安全培訓(xùn)上的審計(jì)要求，必須建立信息安全審計(jì)機(jī)制。由于在安全運(yùn)行管理中心中，知識庫和監(jiān)控關(guān)聯(lián)性分析引擎涉及的技術(shù)復(fù)雜且實(shí)際情況多種多樣不斷變化，因此對于知識庫和關(guān)聯(lián)性分析引擎也應(yīng)當(dāng)不斷的進(jìn)行完善和更新以滿足業(yè)務(wù)上持續(xù)發(fā)展的需求。為了正確發(fā)揮監(jiān)控關(guān)聯(lián)性分析引擎的功能，各個系統(tǒng)的時鐘應(yīng)該保持同步。如果考慮到實(shí)現(xiàn)的復(fù)雜度和投資，可以考慮使用網(wǎng)絡(luò)時間協(xié)議（NTP）來通過GPS同步系統(tǒng)的時鐘，但是最終企業(yè)信息化系統(tǒng)是需要有自己的時鐘源的。沒有同步的時間信息，就無法準(zhǔn)確分析復(fù)雜事件的發(fā)生過程，也就失去了日志的意義。通過實(shí)施安全運(yùn)行管理中心項(xiàng)目可以達(dá)到以下效果：n 統(tǒng)一的管理模式——建立統(tǒng)一的管理模式，實(shí)現(xiàn)信息資源共享，更快的響應(yīng)和解決問題，提高管理效率和管理質(zhì)量，更好地適應(yīng)管理需要。n 規(guī)范化的管理流程——采用先進(jìn)的科技手段，促使所有安全監(jiān)控、響應(yīng)、處理、恢復(fù)流程規(guī)范化。n 自動化的管理操作——提高操作的效率和準(zhǔn)確性，降低人工失誤和遺漏造成的風(fēng)險。例如：作業(yè)的自動調(diào)度、軟件的自動分發(fā)、事件的自動處理、性能參數(shù)的自動收集、資產(chǎn)的自動匯總、數(shù)據(jù)的自動備份等。n 高級的維護(hù)管理——通過對系統(tǒng)現(xiàn)狀的統(tǒng)計(jì)和分析，智能地預(yù)測系統(tǒng)資源使用狀況，主動防范系統(tǒng)運(yùn)行中可能出現(xiàn)的故障和風(fēng)險。n 量化的評估標(biāo)準(zhǔn)——通過分析監(jiān)控記錄的歷史數(shù)據(jù)，產(chǎn)生系統(tǒng)性能的量化分析報告，為決策分析提供可靠的依據(jù)。n 科學(xué)的考核體系——建立科學(xué)的運(yùn)行管理考核體系，實(shí)現(xiàn)對運(yùn)行人員維護(hù)工作的量化考核，提高服務(wù)水平。n 防患于未然——通過對安全相關(guān)事件的分析和處理，對隱藏在事件背后潛在的安全風(fēng)險進(jìn)行有效的分析和識別，防止一些可能的潛在安全事件的發(fā)生。. 企業(yè)信息安全技術(shù)體系的建設(shè). 安全技術(shù)設(shè)計(jì)目標(biāo)一個合適的安全技術(shù)解決方案，不但需要理解安全管理的要求，用最小的投入得到最大的回報，同時也為安全運(yùn)營管理提供了易于操作的平臺。在對安全技術(shù)規(guī)劃實(shí)施時，需要考慮以下內(nèi)容：n 整體安全性的規(guī)劃。n 對于不同的安全功能機(jī)制加以整合并達(dá)到統(tǒng)一管控及互補(bǔ)的目的。n 考慮對其它同時進(jìn)行的項(xiàng)目的影響。n 從基礎(chǔ)的、負(fù)面影響最小的安全措施入手。n 具有未來的擴(kuò)充性，不致因容量問題而須改變整體架構(gòu)。安全措施的設(shè)計(jì)與實(shí)施應(yīng)當(dāng)根據(jù)信息資產(chǎn)所面臨的風(fēng)險所定。安全措施的設(shè)計(jì)應(yīng)以達(dá)到安全保護(hù)目的為原則而非最大限度的投入。. 安全技術(shù)體系的建設(shè)信息安全技術(shù)按照其所在的信息系統(tǒng)層次可以分為物理安全技術(shù)，基礎(chǔ)架構(gòu)安全（網(wǎng)絡(luò)、主機(jī)和終端），應(yīng)用安全技術(shù)，數(shù)據(jù)安全技術(shù)，身份和訪問管理五大種類?？蓪?yīng)到前述信息安全策略中所述的接入控制、信任管理、信息流控制、審計(jì)和完整性5個安全子系統(tǒng)。企業(yè)安全技術(shù)體系的建立原則是要建設(shè)與管理制度相對應(yīng)的企業(yè)的信息安全策略設(shè)計(jì)。一般企業(yè)已部署了一些安全產(chǎn)品，還沒有清晰的設(shè)計(jì)企業(yè)的信息安全策略，安全管理制度與信息安全策略所帶來的執(zhí)行力有些脫節(jié)，由此帶來企業(yè)的安全管理制度的執(zhí)行力不夠。在解決方案設(shè)計(jì)、具體的安全技術(shù)的采用上，需要考慮到當(dāng)前企業(yè)應(yīng)用系統(tǒng)中常見的安全弱點(diǎn)。同時針對安全評估得出的詳細(xì)安全風(fēng)險進(jìn)行安全加固。每一個安全弱點(diǎn)都有相關(guān)的攻擊手段與之相對應(yīng)，針對企業(yè)當(dāng)前應(yīng)用系統(tǒng)中的主要安全弱點(diǎn)與攻擊手段。將應(yīng)用本身、應(yīng)用承載主機(jī)、應(yīng)用承載網(wǎng)絡(luò)的主要技術(shù)風(fēng)險作的應(yīng)對在技術(shù)體系設(shè)計(jì)中加以考慮。5. 為什么選擇安恒信息. 特性n 采用《IATF：信息保障技術(shù)框架》標(biāo)準(zhǔn)；n 采用《系統(tǒng)安全工程能力成熟度模型》標(biāo)準(zhǔn)；n 采用等級保護(hù)思想，完全符合于等級保護(hù)監(jiān)管的要求；n 完善的信息安全策略設(shè)計(jì)和信息安全技術(shù)架構(gòu)設(shè)計(jì)。. 優(yōu)點(diǎn)n 采用了國際國內(nèi)的通用標(biāo)準(zhǔn)和最佳實(shí)踐經(jīng)驗(yàn)n 整合安恒信息豐富的信息安全研究成果和信息安全風(fēng)險管理經(jīng)驗(yàn)。. 效益n 全面梳理信息安全保障的需求；n 從整體上設(shè)計(jì)信息安全保障的策略和技術(shù)架構(gòu)；n 符合等級保護(hù)要的信息安全設(shè)計(jì)方案和實(shí)施方案；n 充分考慮行業(yè)性合規(guī)要求。寧可累死在路上，也不能閑死在家里！寧可去碰壁，也不能面壁。是狼就要練好牙，是羊就要練好腿。什么是奮斗？奮斗就是每天很難，可一年一年卻越來越容易。不奮斗就是每天都很容易，可一年一年越來越難。能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無能的人！不在做事上認(rèn)真，只在情緒上計(jì)較。拼一個春夏秋冬！贏一個無悔人生！早安！—————獻(xiàn)給所有努力的人.學(xué)習(xí)參