现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。
2信息安全建设存在的问题
2.1管理制度建立不完善
2.2信息安全意识不强
职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。
3信息安全建设工作思路
随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:
3.1分析差距,完善内审监控管理体系
3.2安全防控,建立风险上报长效机制
3.3强化意识,紧抓信息安全管理
针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。
3.4抓好关键,确保信息安全工作无死角
2网络信息安全存在的主要风险问题
3管理体系的具体构建思路
(1)安全技术的应用
(2)网络安全管理工作
4结论
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
(3)组建适当的评估管理与实施团队
【关键词】内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
TheExplorationandInspirationofRiskAssessmentonInformationSystems
inInnerMongoliaPower(Group)Co.,Ltd.
AoWei1ZhuangSu-shuai2
(1.InformationCommunicationBranchoftheInnerMongoliaPower(Group)Co.,LtdInnerMongoliaHohhot010020;
2.BeijingCertificateAuthorityCo.,LtdBeijing100080)
【Abstract】BasedontheconductofinformationsecurityriskassessmentinInnerMongoliaPower(Group)Co.Ltd.,weanalyzedthegeneralmethodsofriskassessmentonpowerinformationsystems.Besides,westudiedthetechniquesandoverallprocessofriskassessmentonpowerinformationsystemsinInnerMongoliaPower(Group)Co.Ltd.,whoseexplorationprovidesvaluableinspirationtoinformationsecurityinelectricpowerindustry.
【Keywords】informationsystemsofInnerMongoliaPower(Group)Co.,Ltd.;informationsecurity;riskassessment;explorationandinspiration
1引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
2内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
3电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1)前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2)现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(4)策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1)调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2)技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
a)分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b)质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1]魏晓菁,柳英楠,来风刚.国家电力信息网信息安全防护体系框架与策略.计算机安全,2004,6.
[2]魏晓菁,柳英楠,来风刚.国家电力信息网信息安全防护体系框架与策略研究.电力信息化,2004,2(1).
[3]沈亮.构建电力信息网安全防护框架.电力信息化,2004,2(7).
[4]梁运华,李明,谈顺涛.电力企业信息网网络安全层次式防护体系探究.电力信息化,2003,2(1).
[5]周亮,刘开培,李俊娥.一种安全的电力系统计算机网络构建方案.电网技术,2004,28(23).
[6]陈其,陈铁,姚林等.电力系统信息安全风险评估策略研究.计算机安全,2007,6.
[7]阮文峰.电力企业网络系统的安全风险分析和评估.计算机安全,2003(4).
[8]丛林,李志民,潘明惠等.基于模糊综合评判法的电力系统信息安全评估.电力系统自动化,2004,28(12).
[9]胡炎,谢小荣,辛耀中.电力信息系统建模和定量安全评估.电力系统自动化,2005,29(10).
作者简介:
一、企业内部控制概述
二、企业内部控制存在的问题
2010年我国基本建成适合于我国企业的内部控制规范体系。目前,我国企业内部控制体系发展缓慢,还不够成熟,在企业的应用中仍存在诸多问题。
(一)企业对内部控制的重要性认知不够
我国的经济体制已经从计划经济转变为了市场经济,在市场经济环境下建立的企业内部控制体系,还有不少企业不认同内部控制。这些企业管理者缺乏内部控制意识,企业根本就没有建立内部控制制度,经营管理没有一套规范的操作方法;或者有的企业建立了内部控制制度却不按规定办事,不在经营管理活动中实施内部控制制度,因此其完全发挥不了该有的作用。还有的企业随意缩减内部控制的程序,不注重控制环境和风险评估。
(二)企业内部控制环境不佳
控制环境是能直接影响内部控制贯彻实施效果的基础与核心,控制环境主要表现在两个方面,一是国家整体的内部控制制度不够完善。二是企业治理环境不够好。在所有权和经营权分离的情况下,企业所有者和经营者之间的利益不一致,可能会导致经营者为短期利益所驱使,做出所有者利益相背的行为,还可能导致企业内部控制系统的权利和职责的不明确,再加上我国很多企业的出资主体缺位,可能会出现企业经营者滥用职权谋取私利等现象。
(三)企业内部风险评估失效,内部信息沟通不畅
内部控制是以风险管理为导向的,而风险管理的基础就是风险评估。在当前背景下,企业要时刻面对各种风险,目前许多企业对风险评估不够重视,没有设立风险管理制度,企业经营者在做决策时也不先做好风险评估,自然也就缺乏风险应对能力。信息与沟通控制能够减少企业因信息不对称产生的多余成本,尤其是在集团企业中信息的不通畅、失控、失真现象更是严重,很多企业没有设置沟通制度和信息安全机制,信息混乱、反映迟钝等状况严重影响了企业的经营目标的实现。
(四)内部审计制度不健全,监督力度不够
大部分企业还没有形成一套有效的内部控制监督机制,很多外部监督机构如投资者、新闻媒体等,对企业的内部控制监督不到位,无法保证内部控制制度的落实。企业没有建立内部审计机构就无法评价内部控制取得的效果,而有的企业审计机构与财务部门联系过紧,无法保证审计监督工作的公正和独立。
三、加强企业内部控制的对策建议
(一)加强内部控制意识,完善企业内部治理结构
(二)提高企业员工素质,加强企业文化建设
企业的每一个员工都是企业文化的建设者,加强企业员工素质的培养,让其从思想上认识到内部控制是每一个员工的责任,帮助员工培养诚实守信、爱岗敬业、团结协作的良好品质,并树立起企业责任感,引导员工在日常工作中自发自觉地执行内部控制制度。企业文化能为企业的发展提供精神支撑,要让员工认同企业的内部控制制度,就要让员工认同企业的文化,包括企业价值观、企业精神、规章制度、企业形象等各个方面,然后让企业的管理层和员工以自身素质的提高为基础,共同建设企业文化,创造积极向上的文化氛围,保证企业健康发展。
(三)完善风险管理体系,建立信息沟通系统
企业应该建立一个完善的企业内部控制风险管理体系,如设立专门的风险评估机构,对企业的生产经营各个环节进行风险评估,预测并识别可能的风险,并根据对风险点的分析及时提供各种相应的对策,以化解或降低企业内部控制的风险。
企业内部控制的信息披露和交流是非常重要的,建立一个良好的信息沟通系统,拓展信息交流的渠道,不仅让企业管理者和员工相互理解内部控制制度的执行情况和企业运营情况,还可以让投资者、债权人等外部监督机构了解企业内部控制的具体状况,避免信息的不对称所产生的问题。
(四)加强内部控制监督,完善内部审计系统
为了保证企业内部控制制度能切实发挥作用,首先国家有关部门要加强对企业内部控制的监督,确保其执行程度和完善程度。其次企业财务和审计部门要加强对企业的检查,建立内部评审机制,提高审计人员的综合素质,保证内部审计工作的公正性,充分发挥其队企业内部控制的监督作用,提高企业内部控制水平。