云企业信息安全管理与实践

分类：信息安全论文发表 时间：2020-08-26 11:09 关注：(1)

　　随着外部IT环境的变化，越来越多的企业不同程度地选择上云服务，但“企业上云”既对企业带来新的思路，也给信息安全管理提出新的要求。企业既需要对正在使用的云服务具有全面的认识，深入了解不同云服务厂商提供的云产品，并适时跟上以上服务和产品性能、功能的变化情况，又需要结合企业自身实际，对企业上云后网络与信息安全管理的整体形势有清晰的分析和判断，才能实施恰当的措施，建立新的管理体系，有效应对各类威胁。

　　企业信息安全管理原则

　　依法合规原则。符合国家及各级政府部门制定的网络与信息安全管理有关法律法规和行政规定，安全术语应与相关规定保持一致。清晰自主原则。部署策略之前，需要充分了解企业自身完整的基础设施，以及在其上运行的内容，清楚控制权限。整体性原则。注重统筹规划，构建云上安全策略时注重与网络、系统等其他安全管理要素之间的一致性。有效性原则。制定安全管理级别时应权衡效率，在保证安全的同时，必须保证IT系统的正常运行。实用性原则。安全级别和防护程度应考虑到成本问题，尽量保证性价比。上云企业信息安全管理体系某企业上云后的信息安全管理要素由云端安全配置、网络层安全管理、数据安全管理、业务平台与信息系统安全管理、公共信息安全管理、办公安全管理、合作方安全管理、安全事件应急处置、安全培训与考核构成。各管理要素之间相互关联，高度统一。云端安全配置与管理从企业端的安全管理来看，如何选择云服务、如何安全使用云服务、如何恰当配置云产品，是企业云端安全管理面临的主要议题。企业在构建云安全框架时，首先要充分考虑不同类型云服务的特征，私有云平台与公有云平台之间相互要有一定的隔离。其次，很多企业使用多云环境，但不同云服务厂商提供的云产品也多有不同；云服务商提供了越来越多的安全服务和工具来保证客户云端安全，这些服务和工具的种类、功能、特性都在不断快速变化更新，企业需要及时全面了解。再次，企业在配置具体的安全策略时，还应充分掌握自身IT系统的特性，考虑企业主要系统之间的信息交互安全，可以从数据流走向的角度来考虑云平台下的安全问题。基于以上，从满足物理、网络、应用、主机安全等方面的要求出发，对云端物理系统架构、数据传输、数据库、云存储、备份策略等方面进行统筹设计，并确保一致性。在构建具体的云上安全策略时，可关注云访问控制及访问权限、等保要求、数据分类与备份、数据加密与隔离、审计权限、安全漏洞应对措施、灾难恢复和业务持续计划等维度。企业云端安全日常管理时，一方面执行日常监控和故障排查，另一方面注重性能调优，如由于安全配置导致网站访问慢、处理速度慢等，应找出性能瓶颈和安全瓶颈，进行平衡和优化。网络层安全管理该层管理内容包含安全架构设置、设备认证审计、网络边界防护、访问控制、等保要求、IP地址管理、安全基线配置、日常巡检及漏洞扫描等。其中网络安全架构设置主要包含网络路由设计、网络安全域划分和设备部署；认证审计指对企业的系统主机和相关设施进行认证，对于分布在不同设备上的用户名以及口令分布式管理，对网络系统进行安全审计，选用设备应经国家测评认可；边界防护是指在对企业网络进行安全区块分隔的基础上，对各区块边界防护体系进行全力建设，阻隔安全威胁；访问控制指对内外部人员访问企业内外网的控制管理；等保要求指按照不同的等保等级规定进行网络安全配置；IP地址管理是指企业全部IP地址需要进行统一分配与维护，需充分开发地址效用，并保证安全性；基线配置包含端口开关、账号配置、口令管理等；日常巡检的主要管理内容为基础资源的安全防范，包含路由器、交换机、服务器通信线路、环境场地、存储介质等运行故障检查和安全防范等，安全漏洞扫描可借助相关设备完成。数据安全管理对于云计算环境下面临的数据泄露、数据篡改、数据丢失等安全风险，企业需做好与云服务商之间的合作管理，并建立好云端到企业的安全传输通道，同时在云端部署时结合云端安全策略和数据备份与恢复策略进行恰当的配置。对于来源于内部的风险，管控内容包含数据收集、存储、传输、处理、使用等活动的保护和监督。涉及外部重要数据或个人敏感信息收集时，应向所在地网信部门备案。对于重要或敏感数据，应考虑加密操作，但加密有可能影响访问性能，此时需综合考虑数据保密性的重要程度、对性能的要求、面临的风险选择是否加密以及合适的加密算法，并妥善保管密钥。企业在进行数据处理和使用过程中，应注重数据信息的保密工作。

　　业务平台与信息系统安全管理

　　业务平台与信息系统安全管理的主要目标是保证业务平台与信息系统的运行安全、软件漏洞能迅速修补、不出现或有效防范数据和公共信息安全事件。具体包括管理和技术两个层面，实现对业务平台与信息系统资产上线、运行、下线的全流程管理。管理层面包括认证、授权、审计等，技术层面包括身份鉴别、版本补丁、口令管理、访问控制等。另外，业务平台与信息系统的终端和服务器之间、程序模块之间的通信应具备明确而严格的安全保密机制。公共信息安全管理公共信息安全管理的目标是企业不制作、复制、发布、传播含有国家法律、行政法规、规章、相关规定禁止的相关内容。具体管理内容包含信息发布审核、企业信息系统内容的定期拨测、应急处置等。办公安全管理办公安全管理具体包括办公人员安全管理、文档安全管理和办公设备安全管理。人员安全管理包含员工入职、在职、调动、离职安全管理四个方面；文档的安全管理主要指相关涉密文档在操作时注重安全管理控制，以防止引发信息泄露、信息失效、信息误导等安全事件；办公设备安全管理主要指硬件资产的防护。

　　合作方网络与信息安全管理

　　合作方网络与信息安全管理内容包含负面清单、现场人员、访问安全、审计等，并结合网络与信息安全协议条款，做好开发、实施、运维等每一阶段的安全防范。安全事件应急处理安全事件既包括由于非法攻击或病毒入侵等造成的软硬件破坏、信息泄露等事件，也包含互联网或信息系统上的信息内容被篡改而出现“涉政、涉黄、涉非”三涉内容的事件。企业需将事件分类分级对待，制定不同的处置流程，日常定期开展应急演练，持续提升应急处理能力。

　　网络与信息安全培训与考核

　　培训与考核管理是指企业在制定完善的网络与信息安全管理制度和处置流程的基础上，对企业人员进行安全技术、安全规范等的定期培训与考核，提升企业安全防护能力。信息安全是一个永恒的话题，随着系统逐渐云化，企业的安全管控面向新的IT环境。云环境下网络与信息安全的建设依赖于企业的精准管理。因此，结合云改形势，及时建立完善高效的新管控体系显得尤为重要。本文结合企业实践，重点论述了上云后的新信息安全管理体系，探讨了该体系下各项管理要素涉及的主要内容，为企业上云后的安全管理体系建设提供借鉴和参考。

　　作者：于萍萍 杨波 张兵