本文是一篇公共安全管理论文,本论文从 A 公司的实际情况出发,结合现在环境中存在的网络安全问题,参考当下常用的网络安全技术及管理方法,对苏州工厂进行网络安全管理的升级改善,从而提升A 公司的网络安全,进而推动 A 公司在信息系统中日常运营、管理等方面的进一步发展。
1 绪论
1.1 研究背景和意义
1.1.1 研究背景
社会的发展和经济的飞跃都无法离开计算机网络迅速发展的支持,在现在这个网络化的企业和社会中,网络的正常运行和稳定的信息服务是必不可少的。但是随处可见的网络中,到处存在着各种各样的不安全因素,对计算机、个人乃至企业的信息安全造成了很大的威胁,因此,如何保证个人信息安全、企业信息安全已经是全社会面临的一个共同问题。
在互联网环境下,由于网络的开放性、普适性和隐匿性,使得企业整体环境的运行、维护及管理变得可控性更低,因此在黑客的蓄意攻击下,很容易导致企业信息系统的瘫痪,或者敏感数据被窃取。网络是信息时代最具代表性的时代产物,它在为人们提供一系列便利的同时,也会带来一定的安全隐患。近年来,网络安全事件不断的发生,Facebook 用户隐私数据泄露、澳大利亚政府雇员个人信息泄露、委内瑞拉大规模停电等网络安全事件引起了全球范围内的广泛关注,而这一类的安全事件也敲响了网络安全的警钟。由于网络在社会中的广泛应用,国家也对网络安全问题给与了高度的重视,从多方面出台相关政策,旨在加强网络信息的监管,从而推动互联网乃至整个社会的和谐发展。但是现阶段国内所使用的网络系统及管理与国外相比仍然存在着一定的差距,网络用户缺乏应有的安全防护意识,企业对于网络安全的投入不足,缺少对于网络安全的防护机制及响应的安全策略,被黑客攻击后没有对应的应急恢复措施。一方面是因为安全技术的缺乏,核心安全技术远远落后于国外,另一方面也是因为中国近些年发展太快,国内用户对于网络安全的普遍不重视,没有意识到网络安全问题会给大家带来多大的影响,这也就为恶意攻击者提供了良好的施展环境,使得网络安全事件更容易发生。
网络安全是一个比较大的课题,涉及到诸多如立法、技术、管理、使用等多方面的约束,但同时使得网络安全的研究地位也在日益提升。总而言之,互联网环境下的网络安全问题已经成为了当下被高度重视的安全问题。社会的发展无法离开网络,只有不断提升安全防护技术,强化安全管理,发现企业可能面临的安全威胁,才能更好的使用信息化工具促进企业的更好发展。
...........................
1.2 国内外研究发展现状
自上世纪 90 年代计算机以及因特网的普及后,随着社会的发展,人类已经开始全面迈向信息化的时代。随着信息技术的飞速发展,人们在计算机上的工作已经从单机上运行的文件处理和办公自动化,发展到内网、外网、互联网等全球范围内的业务处理和信息共享,这些通常被称为局域网、城域网和广域网。随着德国率先提出工业 4.0,全世界各个重要的经济体也提出了类似的规划和纲领,中国也根据自身的发展情况相应的提出了中国制造 2025。如今,信息化革命与信息化建设协同工业自动化将显著提高企业的生产效率,大大增加企业在市场上的竞争力,同时为企业明显减少长期开支、节能减排,使企业进入可持续发展。然而,现代信息化技术在给社会提供便利、更高效的带来收益的同时,也使人们在持续面临着网络安全管理的巨大挑战。
企业网络通常是黑客攻击的首选目标。如果一个黑客能够突破企业的网络安全防御系统,那它就有可能突破并访问企业内部的所有计算机。据统计,网络安全事故在近几年造成的损失达到了每年数千亿美元,网络系统的重要性和脆弱性已经被国家政府以及企业组织所意识到。因此,企业的信息化建设对于企业的发展及判断企业是否是一个具有竞争力的现代化企业是非常重要的标准,而在信息化建设中,能否有效保障数据信息的安全、网络防护的稳定性及系统的可用性,则直接反映了信息化建设的成功与否,也是企业可持续并且稳定发展的重要手段。
...........................
2 理论依据
2.1 P2DR2 网络安全模型
P2DR2 是 P2DR 的进阶模型,P2DR 名称来源于其模型的四个组成部分,分别是策略(Policy)、保护(Protection)、检测(Detection)和响应(Response),也就是 PPDR,也叫 P2DR,P2DR 模型是 ISS 美国国际互联网安全系统公司提出的动态网络安全体系的代表模型,同时也是动态安全模型的原始安全模型。该模型主要是根据风险管理的安全策略对系统中需要进行保护的资源进行描述,并以合适且必要的途径对其加以保护。在整个安全模型中,策略是整个模型的核心,所有的防护手段、检测方法和响应措施全部围绕着安全策略来施行。
而 P2DR2 模型是在 P2DR 的基础上,增加了一个 R(Recovery)恢复,使得该模型在根据防护策略进行防护时能够动态的发现系统中存在的问题,并对发现的问题及时做出响应,进而对其结合技术与管理手段进行实时的处理,从而形成自适应动态安全体系,如图 2.1 所示,该理论最基本原理是,认为网络安全相关的所有行为及活动,无论是网络攻击行为、安全防护行为、系统检测行为还是系统响应行为等都需要花费时间,所以可以用时间来衡量一个安全管理体系的安全能力和安全性。
图 2.1 P2DR2 网络安全模型
...............................
2.2 ISMS 信息安全管理体系
信息安全管理体系(Information Security Management System)(简称 ISMS)[22]是系统地解决信息安全问题的一种有效途径。ISMS 是组织整体管理体系中不可或缺的组成部分。在组织中,作为一个整体,在特定的范围内使用这些策略和方法来实现信息安全。因此,ISO/IEC27001 作为时下具有代表性的国际信息安全管理体系标准,已经得到越来越多的国家和组织的认可。对企业来讲,信息安全是实际管理中更多的是风险管理的问题,风险管理一般是围绕信息安全风险而展开的评估、处理、应对和控制的一系列活动,此外,风险评估更是建立信息安全管理体系的重要条件,也是 PDCA ( Plan, Do, Check, Action)中 Plan 阶段最重要的活动。得益于风险评估,企业可以对其当前面临的安全问题进行系统全面的了解,分析、判断问题的严重性及影响程度,从而确定在信息安全建设方面的实际需求。ISO27001 标准指出,组织所有选择控制目标和控制风险的行为,都应该从风险评估中得出的实际需求出发。
风险管理就是识别风险,评估风险,并且对其采取必要的应对措施将风险降低到企业可以接受的水平,并将其维持在这个水平的一个过程。而信息安全管理的核心管理内容就是风险管理。因此,往往会用风险管理来概述信息安全管理。
风险管理的过程与信息安全管理基本相似,他也是动态发展并且不停重复优化并循环的过程。在每一个风险管理周期的后期,如果发现因为出现了新的变化而引起了新的风险,或者因为业务本身的需求体现,都需要再次进入下一轮的风险管理周期。在风险评估中,通过以脆弱性分析为主线,结合 ISO27001 标准的控制点的识别方式,获得企业内部全面详细的风险信息,可以更好的控制企业目前所面临的风险,从而提高风险的可控性。通过实施企业的风险管理,一方面可以不断提高企业全体员工的信息安全意识,明确信息安全管理的在每一位员工身上所体现的职责及义务,与此同时,也是推广信息安全管理理念,强化员工安全意识并且整体进行信息安全管理规范化的过程。规范信息安全工作流程,明确企业每一位员工所应该承担的安全责任及义务,从而为企业信息系统的持续稳定运行提供强有力的保障。另一方面,实施风险管理也是建立全面、完整的信息安全管理体系,有效控制信息系统风险的开端。通过实施标准化的信息安全管理体系,可以有效提高信息安全的管理级别。通过风险评估和风险控制,可以有效降低企业的信息系统随时需要面对的安全风险,从而减少潜在的安全隐患,减少因信息系统故障及数据丢失或被窃取而造成的经济损失,进而使信息系统受到蓄意攻击时,能够确保业务的连续性并将公司损失降至最低。
图 2.2 扩展的威慑理论模型
.................................
3 A 公司网络安全管理现状 ................................ 12
3.1 A 公司简介 ................................. 12
3.2 A 公司网络安全管理背景 ..................................... 12
4 A 公司网络安全问题原因分析 ..................................... 19
4.1 潜在威胁分析 ....................................... 19
4.1.1 人为因素 ................................. 19
4.1.2 系统因素 .................................................... 20
5 网络安全管理改进方案设计 ...............
