杨四海
国网西藏信通公司 西藏自治区拉萨市 850000
摘要:当前互联网技术的飞速发展,云计算、大数据等新技术在信息系统建设过程中得到了广泛应用,更多的互联网用户将自己的信息系统部署在云平台上。随着大量信息系统在云平台上的部署,云平台制度环境建设及安全策略研究就显得尤为重要。本文旨在研究云平台环境下的信息安全制度和安全策略。
关键词:云平台;制度环境;策略
1、云平台安全建设现状及面临的主要问题
随着云计算技术的发展,现有很多系统部署在云平台。在云平台环境下,传统安全解决方案根本无法在云环境中运行,或者说传统安全策略在云平台环境下只能发挥很少的作用。通过调研发现,在现有云平台环境下的安全問题主要表现为四点。一是目前云平台缺乏合格的安全人员,原有的安全人员不能及时掌握云计算、大数据等新技术。二是原有的安全工具落后,传统环境下的安全检测工具不能在云环境下发挥安全壁垒的作用。三是由于部署环境的变化,导致安全策略发生改变。原有系统制定的安全策略无法满足现有的云平台环境。四是在安全体系中增加了云平台环境,对应增加云服务商、云链路商等环节。在这些环节中增加了新环境下的安全隐患。所以,对于上述问题,本文对云平台的安全策略研究就显得尤为重要。
2、加强云平台安全体系建设的对策建议
安全策略是一个单位对信息安全目标和工作原则的规定,其表现形式是一系列安全策略体系文件。安全策略是信息安全保障体系的核心,是信息安全管理工作、技术工作和运维工作的目标和依据。安全策略是依据国家、行业政策、法规、标准(比如国内的信息安全等级保护制度、计算机信息系统安全保密防护要求及检测评估方法、风险评估准则等),结合单位的安全实际需求,制定出符合单位特征的安全策略。安全策略可以划分为安全技术策略和安全管理策略,安全技术策略需要集合相应的安全技术或安全设备,演变为安全技术规则,配发到相应的系统或安全设备上。安全管理策略需要根据单位中不同部门的具体情况,演变为一种具体的安全管理制度,落实到相应的部门和人员。云安全策略体系主要包括:安全管理制度、安全管理机构策略、人员安全管理策略、安全建设策略、安全运维策略等。
2.1 安全管理制度
遵从总体策略中规定的安全领域所应遵守的原则方法,是指导性策略引出具体管理规定、管理办法和实施办法,规定安全管理活动中各项管理内容,如组织安全、人员安全、系统建设和运行维护安全等管理目标、要求、责任以及过程,技术标准和规范将作为各个网络设备、主机操作系统和应用程序的安装、配置、采购、项目评审、日常安全管理和维护时必须遵照的标准,不允许发生违背和冲突。建立由信息安全策略、安全管理制度、安全技术规范以及流程组成的一整套信息安全管理体系。对安全管理类制度的制定负责,应组织相关人员,包括安全专家,制度适用的应用系统承建单位和业主单位等,对制定的安全管理制度进行论证和审定。安全管理制度制定后,必须有效发布,发布过程中必须要有合适的、可行的发布和推动手段,同时在发布和执行前对每个人员都要做与其相关内容的充分培训,保证每个人员都知道和了解与自己相关的内容。建立并执行管理制度评审的工作制度,每年审视安全策略系列文档,对其中不适用的或欠缺的条款及时进行修改和补充。
2.2 安全管理机构策略
安全管理机构是对信息系统安全管理全权负责的组织,机构成员应由相关处室组成,明确安全管理机构的职责。安全管理机构主要由信息安全领导小组、信息安全管理组和信息安全执行组组成。信息领导小组由组长、信息化、信息安全、其他业务部门领导组成。信息安全管理组由组长、信息化、信息安全及安全保密、其他业务部门人员组成。
信息安全执行组主要由信息化、信息安全人员组成,包括系统管理人员、安全管理人员、安全审计人员,其中系统管理人员主要包括网络、主机、应用、数据等管理人员,安全管理人员主要包括信息安全管理人员和安全保密管理人员。
2.3 人员安全管理策略
人员安全管理过程中的安全责任应由人力部门、资产管理部门共同承担。人员培训应从整体考虑,对人员技能需求进行分析,形成人员培训计划,设计培训内容,明确培训方式。应注意根据岗位特点,针对不同岗位制定不同的培训计划,同时对培训的情况和结果进行记录并归档保存。人员考核应形成文件化的岗位考核计划,有序地安排各岗位人员进行考核,至少应定期对涉及信息安全管理、检查和执行的岗位人员进行安全技能的考核,以及对各个岗位的人员进行安全认知的考核。当员工违反了安全策略和安全流程时,应依据处罚条款进行惩戒,记录惩戒结果,并从惩戒事件本身进行总结,分析惩戒原因和规避措施。加强软件开发商、硬件供应商、系统集成商、设备维护商和服务提供商代表,以及实习生、临时工等非本单位人员的访问管理。人员安全管理主要包括人员录用、离岗、考核、培训、外部人员、人员安全保密管理等方面规定的制定。
2.4 系统安全建设管理策略
系统安全建设管理策略主要覆盖系统建设的全过程,包括系统规划、产品采购与使用、系统实施及系统验收各个阶段,以下为各阶段具体安全管理策略:(1)信息系统规划阶段安全管理包括项目立项、项目需求与要求、项目审批和项目招标相关阶段的信息安全管理要求。规划中根据信息系统的等级划分情况和整体安全策略,统一考虑安全技术框架、安全管理策略、总体建设规划和初步设计方案。(2)产品的采购和使用必须符合国家的有关规定,产品的采购和使用应指定或授权专门的处室负责。(3)信息系统实施阶段安全管理包括项目签约、项目计划、项目实施和试运行相关阶段的安全管理要求。制定系统实施方面的管理制度,明确说明实施过程的控制方法和人员行为准则。工程实施方应当制定详细的系统实施方案,控制系统实施过程,并组织相关处室和专家对系统实施方案进行论证和审定。工程实施方必须确保正式地执行安全工程过程,提供系统实施的相关文档和实施过程控制记录。(4)测试验收的标准需要保证功能、性能和安全三方面满足要求,要由专门人员或处室负责,在系统测试验收控制方法和人员行为准则的约束下执行测试验收工作。对于自身缺少测试能力的单位,需要委托外部单位帮助完成测试工作,并出具公正的安全性测试报告。系统运营单位应对系统交付的要求,包括系统交付的控制方法和人员行为准则进行规定,根据合同要求制定系统交付的清单,依据交付清单进行清点。系统建设单位应对负责系统使用和维护人员进行相应培训,并履行服务承诺。
2.5 系统运维管理策略
系统运维管理策略的范围主要包括对环境、资产、介质、设备、恶意代码防护、安全服务、监控和安全审计、网络、系统、密码、变更、备份与恢复、安全事件、应急管理等方面,确保系统始终处于相应等级安全状态中。对信息系统实施安全审计的目的是避免违背有关法律法规或合同约定事宜及其他安全要求的规定,遵从管理部门如公安机关的安全要求,确保信息安全管理符合安全方针和标准要求,作为自我保障和改进机制的一部分,在保证信息安全管理体系持续有效运作的同时,不断地改进和完善。
结语:在信息化飞速发展的今天,伴随着云计算、大数据等新技术的日益发展,与之匹配的云平台制度环境建设显得尤为重要。信息系统安全安全策略的不断完善要做到同新技术的发展与时俱进。云平台制度环境的建设及安全策略,将会为信息系统安全起到坚实壁垒的重要作用。
参考文献:
[1] 罗晓慧.浅谈云计算的发展[J].电子世界,2019(08):104.
[2] 韩红光.校园网网络安全策略构建与应用研究——以浙江农业商贸职业学院为例[J].电脑知识与技术, 2016,12(08):57-59.
[3] 中国人民银行河池市中心支行课题组.基于个人信用信息基础数据库客户端模拟漏洞分析及防范措施研究[J].金融参考,2016:(1).