前言:我们精心挑选了数篇优质物联网安全总结文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
【 关键词 】 信息安全;规划;规范;完善;信息系统
Research Into the Information Security Status Quo at Home and Abroad
Lin Lin
(Information Security Department of the Patent Office Beijing 100088)
【 Abstract 】 Through this topic research on the present situation of domestic and foreign information security analysis, for the planning of the information security system in our country and set up to provide reference and help for our country to establish scientific and perfect, standardization of information security system provides some reference opinions.
【 Keywords 】 information security; planning; specification; perfect; information system
1 引言
在当今全球一体化的环境中,信息的重要性被广泛接受,信息系统在商业和政府组织中得到了真正的广泛的应用。许多组织对其信息系统不断增长的依赖性,加上在信息系统上运作业务的风险、收益和机会,使得信息安全管理成为信息化管理越来越关键的一部分。面对越来越严峻的安全形势,世界各国高度重视信息安全保障。2015年已然过半,在安全行业,不同规模的攻击者,无论是技术还是组织都在快速提升。相比之下美国信息安全保障体系建设比较完善,信息保障已成为美军组织实施信息化作战的指导思想。
国际上信息安全标准化工作兴起于20世纪70年代中期,80年代有了较快的发展,90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织制定标准或技术规则,与信息安全标准化有关的组织主要有几个:ISO(国际标准化组织)、IEC(国际电工委员会)、ITU(国际电信联盟)、IETF(Internet工程任务组)等。除了上述标准组织,世界各国的官方机构和行业监管机构还有许多信息安全方面的标准、指引和建议的操作实践。
2 国外IT新技术信息安全
随着全球信息化浪潮的不断推进,信息技术正在经历一场新的革命,使社会经济生活各方面都发生着日新月异的变化。虚拟化、云计算、物联网、IPv6等新技术、新应用和新模式的出现,对信息安全提出了新的要求,拓展了信息安全产业的发展空间。同时,新技术、新应用和新模式在国外市场的全面开拓将加快国外信息安全技术创新速度,催生云安全等新的信息安全应用领域,为国外企业与国际同步发展提供了契机。
2.1 云计算
“云安全”是继“云计算”、“云存储”之后出现的“云”技术的重要应用,已经在反病毒软件中取得了广泛的应用,发挥了良好的效果。在病毒与反病毒软件的技术竞争当中为反病毒软件夺得了先机。云安全联盟CSA是在2009年的RSA大会上宣布成立的,云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。同时云安全联盟列出了云计算的七大安全风险:(1)数据丢失/泄漏;(2)共享技术漏洞;(3)内部控制;(4)账户、服务和通信劫持;(5)不安全的应用程序接口;(6)没有正确运用云计算;(7)透明度问题。
2.2 虚拟化
咨询公司Gartner将虚拟化技术列为2013年十大战略技术第一位,而在2014年初预测中,更是大胆断言到2015年20%的企业将不再拥有IT资产,因为多个内在关联的趋势正在推动企业去逐步减少IT硬件资产,这些趋势主要是虚拟化、云计算服务等。而虚拟化技术,作为云计算的一个支撑技术,必将成为未来最重要的最值得研究的IT技术之一。虽然目前针对各组件安全的保护措施不少,但是从CVE的公告中可以看出安全威胁仍然存在。目前针对虚拟化环境的主要威胁有三类:逃逸威胁、流量分析与隐蔽信道以及Host OS与Guest OS之间的共享问题。
2.3 物联网
物联网和互联网一样,都是一把“双刃剑”。物联网是一种虚拟网络与现实世界实时交互的新型系统,其特点是无处不在的数据感知、以无线为主的信息传输、智能化的信息处理。根据物联网自身的特点,物联网除了面对移动通信网络的传统网络安全问题之外,还存在着一些与已有移动网络安全不同的特殊安全问题。这是由于物联网是由大量的机器构成,缺少人对设备的有效监控,并且数量庞大,设备集群等相关特点造成的,这些特殊的安全问题主要有几个方面:(l)物联网机器/感知节点的本地安全问题;(2)感知网络的传输与信息安全问题;(3)核心网络的传输与信息安全问题;(4)物联网应用的安全问题。
2.4 IPv6
为适应Intemet的迅速发展及对网络安全性的需要,由IETF(The Internet Engineer Task Force)建议制定的下一代网际协议(IPNextGeneration Protocol,IPng),又被称为IP版本6(1Pv6),除了扩展到128位地址来解决地址匮乏外,在网络安全上也做了多项改进,可以有效地提高网络的安全性。
由于IPv6与IPv4网络将会,网络必然会同时存在两者的安全问题,或由此产生新的安全漏洞。已经发现从IPv4向IPv6转移时出现的一些安全漏洞,例如黑客可以使用IPv6非法访问采用了IPv4和IPv6两种协议的LAN的网络资源,攻击者可以通过安装了双栈的使用IPv6的主机,建立由IPv6到IPv4的隧道,绕过防火墙对IPv4进行攻击。
3 国外信息安全发展趋势
据Gartner分析,当前国际大型企业在信息安全领域主要有几个发展趋势:(1) 信息安全投资从基础架构向应用系统转移;(2)信息安全的重心从技术向管理转移;(3)信息安全管理与企业风险管理、内控体系建设的结合日益紧密;(4)信息技术逐步向信息安全管理渗透。结合大型企业信息安全发展趋势,国际各大咨询公司、厂商等机构纷纷提出了符合大型企业业务和信息化发展需要的信息安全体系架构模型,着力建立全面的企业信息安全体系架构,使企业的信息安全保护模式从较为单一的保护模式发展成为系统、全面的保护模式。
4 国外信息安全总结
信息安全在国外已经上升到了国家战略层次,国外的信息安全总体发展领先于国内,特别是欧美,研究国外的信息安全现状有助于我国的信息安全规划。国外的主流的信息安全体系框架较多,都有其适用范围和缺点,并不完全符合我国现状,可选取框架的先进理念和组成部分为我国所用,如IATF的纵深防御理念和分层分区理念、ISO27000的信息安全管理模型、IBM的安全治理模块等。
5 国内信息安全综述
目前,国家开始高度重视信息安全问题,以等级保护和分级保护工作为主要手段,加强我国企事业单位的信息安全保障水平。 目前我国信息于网络安全的防护能力处于发展的初级阶段,许多应用系统处于不设防状态,信息与网络安全,目前处于忙于封堵现有信息系统的安全漏洞,要解决这 些迫在眉睫的问题,归根结底取决于信息安全保障体系的建设。
6 国内信息安全标准
国内的安全标准组织主要有信息技术安全标准化技术委员会(CITS)、中国通信标准化协会(CCSA)下辖的网络与信息安全技术工作委员会、公安部信息系统安全标准化技术委员会、国家保密局、国家密码管理委员会等部门。
在信息安全标准方面,我国已了《信息技术 安全技术 公钥基础设施在线证书状态协议》、《信息技术 安全技术 公钥基础设施证书管理协议》等几十项重要的国家信息安全基础标准,初步形成了包括基础标准、技术标准、管理标准和测评标准在内的信息安全标准体系框架。
7 国内IT新技术信息安全
7.1 云计算
目前我国的云计算应用还处于初始阶段,关注的重点是数据中心建设、虚拟化技术方面,因此,我国的云安全技术多数集中在虚拟化安全方面,对于云应用的安全技术所涉及的还不多。虽然当前众多厂商提出了各种云安全解决方案,但云安全仍处于起步阶段,除了可能发生的大规模计算资源的系统故障外,云计算安全隐患还包括缺乏统一的安全标准、适用法规、以及对于用户的隐私保护、数据、迁移、传输安全、灾备等问题。
7.2 虚拟化
由于虚拟化技术能够通过服务器整合而显著降低投资成本,并通过构建内部云和外部云节省大量的运营成本,因此加速了虚拟化在全球范围的普及与应用。目前许多预测已经成为现实:存储虚拟化真正落地、高端应用程序虚拟化渐成主流、网络虚拟化逐渐普及、虚拟化数据中心朝着云计算的方向大步迈进、管理工具比以往更加关注虚拟数据中心。在虚拟化技术应用方面,企业桌面虚拟化、手机虚拟化、面向虚拟化的安全解决方案、虚拟化推动绿色中心发展等领域也取得了长足进步,发展势头比之前预想的还要迅猛。
7.3 IPv6
我国IPv6标准整体上仍处于跟随国际标准的地位,IPv6标准进展与国际标准基本一致,在过渡类标准方面有所创新(如软线技术标准和 IVI技术标准等),已进入国际标准。中国运营企业在IPv6网络的发展,奠定了中国在世界范围内IPv6领域的地位,积累了一定的运营经验。但总体来看,我国IPv6运营业发展缓慢,主要体现在IPv6网络集中在骨干网层面,向边缘网络延伸不足,难以为IPv6特色业务的开发和规模商用提供有效平台。此外,由于运营企业积极申请IPv4地址,或采用私有地址,对于发展IPv6用户并不积极,直接影响了其他产业环节的IPv6投入力度。
8 国内信息安全发展趋势
随着信息技术的快速发展和广泛应用,基础信息网络和重要信息系统安全、信息资源安全以及个人信息安全等问题与日俱增,应用安全日益受到关注,主动防御技术成为信息安全技术发展的重点。
第一,向系统化、主动防御方向发展。信息安全保障逐步由传统的被动防护转向"监测-响应式"的主动防御,产品功能集成化、系统化趋势明显,功能越来越丰富,性能不断提高;产品问自适应联动防护、综合防御水平不断提高。
第二,向网络化、智能化方向发展。计算技术的重心从计算机转向互联网,互联网正在逐步成为软件开发、部署、运行和服务的平台,对高效防范和综合治理的要求日益提高,信息安全产品向网络化、智能化方向发展。网络身份认证、安全智能技术、新型密码算法等信息安全技术日益受到重视。
第三,向服务化方向发展。信息安全内容正从技术、产品主导向技术、产品、服务并重调整,安全服务逐步成为发展重点。
9 国内信息安全总结
国内的信息安全较国外有一定距离,不过也正在快速赶上,国内现在以等级保护体系和分级保护体系为主要手段,以保护重点为特点,强制实施以提高对重点系统和设施的信息安全保障水平,国内的信息安全标准通过引进和消化也已经初步成了体系,我国在规划时,需考虑合规因素,如等级保护和分级保护。国内的信息安全体系框架较少,主要是等级保护和分级保护,也有国内专家个人推崇的框架,总体来讲,以合规为主要目的。
参考资料
[1] 中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例.1994.
[2] 公安部,国家保密局,国家密码管理局,国务院信息化工作办公室.信息安全等级保护管理办法.2007.
[3] ISO/IEC. Information technology――Security techniques――Information security management systems――Requirements.2005.
[4] ISO/IEC. Information technology――Security techniques――Code of practice for information security management.2005.
[5] Trustwave .2012 Global Security Report,2012.
[6] The White House. Federal Plan for Cyber Security and Information Assurance Research and Development. April, 2006.
1.1尽快研究出台与三网融合进程相适应的我国广电网络信息安全总体战略规划
按照2010年国务院批复的《推进三网融合的总体方案》要求,2013~2015年为推广阶段,该阶段目标为:“总结推广试点经验,全面推进三网融合;自主创新技术研发和产业化取得突破性进展,掌握一批核心技术,宽带通信网、数字电视网、下一代互联网的网络承载能力进一步提升;网络信息资源、文化内容产品得到充分开发利用,融合业务应用更加普及,适度竞争的网络产业格局基本形成;适应三网融合的体制机制基本建立,相关法律法规基本健全,职责清晰、协调顺畅、决策科学、管理高效的新型监管体系基本形成;网络信息安全和文化安全监管机制不断完善,安全保障能力显著提高。”根据上述阶段目标,总体方案对网络信息安全保障能力提出了明确的要求,为适应三网融合进程,我国广电行业在实现技术突破,完成业务融合等措施的同时,需要从战略的高度统筹考虑网络信息安全保障问题,从机构调整、立法、关键基础设施保护、技术研发、加强教育培训、加强多方合作等角度全面的制定我国广电网络信息安全总体战略规划,分阶段制定网络信息安全总体目标,依据总体目标制定信息安全基本政策及具体措施,并依此来指导未来几年内面临三网融合不断推进形势下的广电网络信息安全保障工作。
1.2尽快建立适合三网融合新形势的广电网络信息安全机制
随着三网融合进程的不断深入,电信、互联网、广电主体业务将相互开放和相互进入,网络承载业务的变化必将对现有广电网络信息安全机制提出严峻的挑战。因此,当前广电行业对节目内容以及传输网络的一些管理方式及监管机制也应因势利导,系统分析及评估当前网络信息安全风险及未来可能产生的变化,并针对这些新的变化调整自身管理方式和监管机制,尽快建立与三网融合进程相适应的新的广电网络信息安全机制。
1.3完善并制定新形势下广电网络信息安全相关法律法规
自三网融合进程启动以来,针对IPTV、网络视频等新媒体内容,我国广电行业已出台了一系列相关的法律法规对其进行监督管理。然而,随着三网融合进程的不断深入,电信、互联网、广电主体业务将不断相互开放和相互进入,广电网络承载业务将不断扩大,网络覆盖方式将涵盖有线、无线、卫星等多种方式,用户终端将从客厅电视扩展到PC、移动终端、手持终端等多种终端,业务运营模式也将多种多样,面对上述不断激增的新的变化,目前我国广电行业的相关法律法规已不能全面系统地保障广电网络的信息安全。因此,完善并制定新形势下广电网络相关法律法规的工作就迫在眉睫。
1.4完善新技术在广电网络应用的安全性及风险评估机制
当前,我国广电运营商在三网融合进程不断推进的形势下,正受到来自电信以及互联网运营商方面巨大的压力,面对这种压力,我国广电运营商在稳固发展自身视频业务的同时,也不断尝试开展新的融合业务,而支撑这些新业务的新技术也被引入到了广电网络中,这些新技术包括物联网技术、移动互联网技术、云计算、大数据技术等。新技术的应用推动了新业务的应用,提升了广电网络的竞争力,然而任何一种新技术的应用必然会带来一定的安全威胁,如云计算的应用可能会对存在云端的用户信息带来一定安全威胁,物联网大量使用无线通信、电子标签和无人值守设备,这使得物联网应用层隐私信息威胁问题会非常突出。而诸如移动互联网、大数据等新技术也同样存在不同的安全威胁。新技术在广电网络的应用是提升广电网络竞争力的必然需求,但如何安全的应用这些新的技术,尽量减少安全风险,这就要求我们尽早的对新技术在广电网络的应用安全性及风险进行系统的评估,建立科学的风险评估机制,分析这些新技术可能在哪些技术环节出现安全威胁,从而针对性的制定网络信息安全对策,进而采取有效的网络信息安全措施。
2三网融合背景下我国广电网络信息安全技术措施建议
2.1推进具有自主知识产权的广电核心技术研发
2013年6月,美国前中情局(CIA)职员爱德华•斯诺登向全世界披露了美国国家安全局一项代号为“棱镜”的秘密项目,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划,该计划的正式名号为“US-984XN”。美国情报机构可通过直接接触位于美国的互联网和科技巨头的用户数据,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮,即时消息,视频,照片,存储数据,语音聊天,文件传输,视频会议,登录时间,社交网络资料的细节。这些巨头主要包括谷歌、雅虎、微软、苹果、Facebook、美国在线、PalTalk、Skype、YouTube、思科等,他们向美国两大情报机构开放服务器,使美国政府能够轻而易举地监控全球。在我国,以思科为例,思科参与了中国几乎所有大型网络项目的建设,涉及政府、海关、邮政、金融、铁路、民航、医疗、军警等要害部门的网络建设,以及中国电信、中国联通以及我国广电网络基础设施建设。而微软、Google和苹果则掌握了中国的PC操作系统份额,在移动终端操作系统领域,苹果的IOS及Google的Android操作系统更是平分天下。在广电行业,智能电视操作系统及机顶盒也有部分采用Google的Android系统,这都为我国广电网络信息安全埋下了安全隐患。因此,需要研发一批具有自主知识产权的广电网络核心技术、关键技术、共性技术,以先进的自主技术支撑广播电视装备、软件、系统的自主开发和应用,从而切实提高我国广播电视领域的自主创新能力和技术装备水平,排除因采用国外技术而可能隐藏的网络信息安全隐患。
2.2推进适应融合网络架构的网络信息安全技术研发
随着三网融合进程的推进,广电网络、电信网络以及互联网三网边界日益模糊,同时,为提高广电网络的承载和覆盖能力,有线、无线和卫星传输网络的互联互通和智能协同覆盖也被提上了日程,此外,基于无线频谱开展无线互联网接入业务的呼声也日益高涨。由此可见,当前的广电网络正在经历着巨大的变革,与互联网、电信网的融合,自身不同传输网络之间的融合,新的移动互联接入网络的需求都使得处于“融合形态”广电网络架构发生了巨大的变化,这种变化相应地也带来了新的安全威胁。因此,如何适应融合形态下的新型广电网络信息安全,推进适应融合网络架构的网络信息安全技术的研发也需要相关研究机构考虑,并加紧相关研究工作的实施。
2.3推进适应融合业务的网络信息安全技术研发
网络的融合,必然带来的是网络承载业务的融合,当前广电网络承载业务已不仅仅是客厅电视机终端上的视频业务,点播业务、时移业务也经历了很长时间的发展,基于移动终端的视频业务正方兴未艾,同时,各种数据业务也正由广电网络运营商提供给用户使用,未来物联网等新型业务也将由广电网络承载并提供给家庭用户使用。融合业务给广电网络带来了新的机遇,同时也给广电网络的信息安全带来了极大的挑战,为应对传统视频业务而采用的一系列信息安全技术在面临新的融合业务时已经不足以保障用户安全的使用和享受这些业务形式。因此,需要推进适应融合业务的网络信息安全技术研发,真正使用户放心安全的享受广电网络承载的多种融合业务。
2.4推进面向云计算、物联网等新技术应用的网络信息安全技术研发
通过之前的研究我们发现,进入21世纪第二个十年后,以云计算、物联网为代表的新技术正在加快在广电网络的应用。然而,新技术在推动广电网络的巨大变革的同时,也带来了新的安全隐患。以云计算为例,2010年3月云计算安全联盟(CSA)的一份云计算主要威胁的报告中,就提出了云计算目前存在的七大安全威胁,而如果我们没有及早对这些可能的安全威胁采取相应的安全技术和安全措施,一旦发生安全事故,就极有可能导致整个网络的瘫痪,导致所有用户信息的泄露,后果不堪设想。物联网同样存在着巨大的安全隐患,如果物联网出现了被攻击、数据被篡改等,并致使其出现了与所期望的功能不一致的情况,或者不再发挥应有的功能,那么依赖于物联网的控制结果将会出现灾难性的问题,如工厂停产或出现错误的操控结果此外,黑客等恶意攻击者还有可能通过物联网来获取、处理、传输的用户的隐私数据,如果物联网没有防范措施则会导致用户隐私的泄露。因此,我们在推动云计算、物联网等新技术在广电网络应用的同时,务必需要对这些新技术可能产生的安全威胁进行系统的估量,并加紧推进面向云计算、物联网等新技术应用的网络信息安全技术研发,从而在享受新技术带来的“技术红利”的同时,以技术的手段堵着可能的安全漏洞,真正确保新技术在广电网络的安全应用。
3结束语
2016年11月29日,普华永道2017年全球信息安全状况调查报告(以下简称“调查”)。此次调查是2016年4月至6月由普华永道和CIO与CSO杂志联合在互联网上开展的全球范围调查研究。调研对象来自CIO和CSO杂志的读者与普华永道的客户群体,涵盖133个国家,其中超过10,000份调研来自CEO(首席执行官)、CFO(首席财务官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副总裁)以及IT与安全总监,48%的受访企业年收益超过5亿美元。
调查显示,在过去12个月中,中国内地及香港企业检测到的信息安全事件平均数量高达2,577起,是前次调查记录的两倍,较2014年更是攀升969%。
同时,调查发现,在过去一年中,全球各行业检测到的信息安全事件平均数量有所下降,为4,782起,比2014年减少3%。
中国受访企业在信息安全方面的投资预算比去年削减了7.6%。值得注意的是,88%的中国受访企业认为,他们在信息安全上的投入受到了数字化的影响,而投入的重点主要集中在那些与企业自身的商业战略及安全监管相匹配的网络安全方面。此外,31.5%的中国受访企业表示其有意在人工智能、机器学习等先进安全技术领域进行投资。
对此,普华永道中国网络安全与隐私保护服务合伙人冼嘉乐认为,“国内一些有前瞻性的企业已经在调整信息安全的投资方向,通过加大对先进网络信息安全技术的投入,来明确并加强其独有的商业价值,为业务增长保驾护航。”
根据调查反馈,针对信息安全事件的攻击途径,49%的中国内地及香港受访者表示,网络钓鱼欺诈是主要手段,而商务邮件首先成为重灾区。44%的中国受访企业认为,内部原因是网络安全的最大威胁。同时,商业竞争对手也是不可忽视的因素。34%的中国受访企业将攻击归因于竞争对手,高于全球数值(23%)。
在商业机会和风险不断演变的大环境中,如何加强物联网中各个连接设备的网络安全,如何利用云科技来部署企业敏感职能已成为企业探索的主要方向。本期调查显示,57%的中国内地及香港受访企业正在对物联网安全策略进行投资(全球为46%),并且已有约45%的IT系统是基于云技术运行的(全球为48%)。
与此同时,根据调查反馈,75%的中国内地及香港受访企业在使用开源软件(全球为53%)。受访企业认为安全管理服务和开源软件能够有效提升企业信息安全水平。
冼嘉乐表示,企业在信息安全方面,应当重视员工的信息安全意识培训,同时做好企业数据的分类工作、对数据分类进行风险评估,并按照级别对信息采取相应的保护措施;采用科技数据保护方案是十分必要的;企业应该加强信息安全的管理,并提高对受访者身份的识别能力。
关键词:企业信息化;信息安全管理体系;信息安全保障
1 企业信息安全需求与目标
近年来随着企业信息系统建设的不断发展,企业的信息化安全也面临着前所未有的挑战。作为中国高速列车产业化制造基地和城轨地铁车辆定点制造企业,公司的发展对高速动车行业产生着举足轻重的作用;从企业信息安全现状分析,公司IT部门主管深深意识到,尽管从自身情况来看,在信息安全方面已经做了很多工作,如部署了防火墙、SSL VPN、入侵检测系统、入侵防御系统、防病毒系统、文档加密、终端安全管理系统等。但是安全系统更多的在于防堵来自某个方面的安全威胁,无法产生协同效应,距离国际同行业企业还存在一定的差距。
公司通过可行性研究及论证,决定借助外力,通过知名的咨询公司协助企业发现存在的信息安全不足点,以科研项目方式,通过研究国家安全标准体系及国家对央企和上市企业的信息化安全要求,分析企业目前的现状和国际标准ISO27001之间的差距,继而完善企业信息安全体系的规划与设计,最终建立一套适合企业现状的信息安全标准和管理体系。目标是使公司信息安全从管理到技术均得到全面加强,建立一个有责(职责)、有序(秩序)、有效(效率)的信息安全管理体系,预防信息安全事件的发生,确保更小的业务损失,提供客户满意度,获取更多的管理支持。在行业内树立标杆和示范,提升企业形象,赢取客户信任,增强竞争力。同时,使信息安全体系通过信息安全管理体系通过ISO 27001认证标准。
2 企业信息安全管理体系建设过程
凡事预则立,不预则废。对于信息安全管理建设的工作也先由计划开始。信息安全管理体系建设分为四个阶段:实施安全风险评估、规划体系建设方案、建立信息安全管理体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求,即有效地保护企业信息系统的安全,确保信息安全的持续发展。本文结合作者经验,重点论述上述几个方面的内容。
2.1 确立范围
首先是确立项目范围,从机构层次及系统层次两个维度进行范围的划分。从机构层次上,可以考虑内部机构:需要覆盖公司的各个部门,其包括总部、事业部、制造本部、技术本部等;外部机构:则包括公司信息系统相连的外部机构,包括供应商、中间业务合作伙伴、及其他合作伙伴等。
从系统层次上,可按照物理环境:即支撑信息系统的场所、所处的周边环境以及场所内保障计算机系统正常运行的设施。包括机房环境、门禁、监控等;网络系统:构成信息系统网络传输环境的线路介质,设备和软件;服务器平台系统:支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库、中间件和Web系统等软件平台系统;应用系统:支撑业务、办公和管理应用的应用系统;数据:整个信息系统中传输以及存储的数据;安全管理:包括安全策略、规章制度、人员组织、开发安全、项目安全管理和系统管理人员在日常运维过程中的安全合规、安全审计等。
2.2 安全风险评估
企业信息安全是指保障企业业务系统不被非法访问、利用和篡改,为企业员工提供安全、可信的服务,保证信息系统的可用性、完整性和保密性。
本次进行的安全评估,主要包括两方面的内容:
2.2.1 企业安全管理类的评估
通过企业的安全控制现状调查、访谈、文档研读和ISO27001的最佳实践比对,以及在行业的经验上进行“差距分析”,检查企业在安全控制层面上存在的弱点,从而为安全措施的选择提供依据。
评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面,包括信息安全策略、安全组织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安全事件管理、业务连续性管理、符合性。
2.2.2 企业安全技术类评估
基于资产安全等级的分类,通过对信息设备进行的安全扫描、安全设备的配置,检查分析现有网络设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点,为安全加固提供依据。
针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法,在应用评估中将对应用系统的威胁、弱点进行识别,分析其和应用系统的安全目标之间的差距,为后期改造提供依据。
提到安全评估,一定要有方法论。我们以ISO27001为核心,并借鉴国际常用的几种评估模型的优点,同时结合企业自身的特点,建立风险评估模型:
在风险评估模型中,主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点在现有控制措施的保护下,被威胁利用的可能性以及被威胁利用后对资产带来影响的严重程度,威胁的属性是威胁发生的可能性及其危害的严重程度,风险的属性是风险级别的高低。风险评估采用定性的风险评估方法,通过分级别的方式进行赋值。
2.3 规划体系建设方案
企业信息安全问题根源分布在技术、人员和管理等多个层面,须统一规划并建立企业信息安全体系,并最终落实到管理措施和技术措施,才能确保信息安全。
规划体系建设方案是在风险评估的基础上,对企业中存在的安全风险提出安全建议,增强系统的安全性和抗攻击性。
在未来1-2年内通过信息安全体系制的建立与实施,建立安全组织,技术上进行安全审计、内外网隔离的改造、安全产品的部署,实现以流程为导向的转型。在未来的 3-5 年内,通过完善的信息安全体系和相应的物理环境改造和业务连续性项目的建设,将企业建设成为一个注重管理,预防为主,防治结合的先进型企业。
2.4 企业信息安全体系建设
企业信息安全体系建立在信息安全模型与企业信息化的基础上,建立信息安全管理体系核心可以更好的发挥六方面的能力:即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复(Recover)和反击(Counter-attack),体系应该兼顾攘外和安内的功能。
安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先,针对安全管理制度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互联、容灾备份、集中监控等方面的要求。
其次,信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技术、应用安全技术,以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求,规划信息安全技术包括:
2.5 体系运行及改进
信息安全管理体系文件编制完成以后,由公司企划部门组织按照文件的控制要求进行审核。结合公司实际,在体系文件编制阶段,将该标准与公司的现有其他体系,如质量、环境保护等体系文件,改归并的归并。该修订审核的再继续修订审核。最终历经几个月的努力,批准并实施了信息安全管理系统的文档。至此,信息安全管理体系将进入运行阶段。
有人说,信息系统的成功靠的是“三分技术,七分管理,十二分执行”。“执行”是要需要在实践中去体会、总结与提高。对于信息系统安全管理体系建设更是如此!在此期间,以IT部门牵头,加强宣传力度,组织了若干次不同层面的宣导培训,充分发挥体系本身的各项功能,及时发现存在的问题,找出问题根源,采取纠正措施,并按照更改控制程序要求对体系予以更改,以达到进一步完善信息安全管理体系的目的。
3 总结
总结项目,建立健全的信息安全管理制度是进行安全管理的基础。当然,体系建设过程中还存在不足,如岗位原有职责与现有安全职责的界定,员工的认知及接受程度还有待提高,体系在各部门领导重视程度、执行力度、审核效果存在差距等等。最终,在公司各部门的共同努力下,体系经历了来自国际知名品牌认证公司DNV及中国认可委(CNAS)的双重检验,并通过严格的体系审核。确认了公司在信息安全管理体系达到国内和国际信息安全管理标准,提升公司信息安全管理的水平,从而为企业向国际化发展与合作提供有力支撑。
[参考文献]
[1]沈昌祥.《信息系统安全导论》.电子工业出版社,2003.7.
一、可取之处:
1、以“四化”为支撑,不断提高标准化管理水平,打造“精细、安全、优质、智能、绿色、徽派”工地。
项目部全力打造贾峪镇站和盾构区间智慧工地建设和宣传观摩,取得了各界的一致好评。虚实融合的智慧工地,实现智能作业与高效管理。无需填报,自动采集各专业应用和智能设备的数据,集中展现、分析、预警,实现对项目情况的动态监控和高效管理。使用手机APP 随时随地了解项目的情况。综合应用BIM和云大物移智等数字化技术驱动施工现场管理升级的新型技术手段。通过数字化技术对施工现场“人+机+料+法+环”等各关键要素的全面感知和实时互联互通集成,实现工地的数字化、在线化、智能化。
2、完善项目各项安全质量自控体系、规章制度及班组长责任制落实情况。
安质部在项目安全生产责任制的基础上严格落实班组长的岗位安全质量职责,将技术、安全、质量、作业标准落实到作业班组、作业面,从而强化施工现场过程管理和基础管理,按照要求对进场的班组长签订安全质量责任书及安全质量承诺书,同时在每月收方结算时必须后附承诺书,让班组长能够认识到安全、质量的重要性和必要性,从思想源头约束作业层干好每一道工序。项目领导班子每月开会评比打分,针对产值贡献大、安全质量表现优异、工作积极配合的队伍负责人、班组长进行表彰并以现金的形式现场发放奖励,以激励的方式,大大减少了一线管理人员与班组之间的沟通阻碍,起到了一定的作用。
3、以服务现场出发,时刻提醒为目的,积极全方位的开展安全教育培训和警示视频教育工作。
2019年度,项目部一直处于大干热潮,工作紧、任务重,针对这一特点,安质部利用作业人员进场前的准备时间和平时的风雨天气及倒班时间组织人员在智慧厅进行可视化安全教育和警示视频教育培训,并不定期邀请公司管控大队给特种作业人员进行座谈交流心得,共同讨论困惑。在教育形式上项目一改之前的大篇幅宣读教育,利用项目智慧大厅和投影仪,采用图、音、影的方式对作业人员进行教育。使一线管理人员和作业工人正在意义上的感受到什么是危险和违章带来的不堪后果。
4、通过智能安全帽、智能芯片、闸机等硬件实时采集现场人员数据,并根据管理需求生成各类统计报表、图表。
管理人员可实时掌握现场用工人数、不同工种人数、不同班组人
数、工效指数、人均工时等相关现场人员管理数据,实现对现场人员的有效管理。以工人实名制为基础,以物联网+ 智能硬件为手段,通过工人佩戴装载智能芯片的安全帽,现场安装“工地宝”数据采集和传输,实现数据自动收集、上传和语音安全提示,最后在移动端实时数据整理、分析,清楚了解工人现场分布、个人考勤数据等,给项目管理者提供科学的现场管理和决策依据。
5、全员安全意识强烈,共鸣配合程度高,基本能够做到人人抓安全,人人管安全。
现场就是战场,执行力就是战斗力。我们紧盯现场,实行全员抓安全、抓标准、抓落实整改,不断夯实安全生产工作的基础,打造本质安全环境。严格执行副经理、安全总监牵头进行模板支撑体系验收程序、门吊、电瓶车每日检查制度等,现场提出问题,整改后方可进行下道工序,领导班子、队长、技术员、电工、安全员、维修人员等全面参与现场安全管理,及时发现隐患,及时整改消除隐患。
6、积极响应局领导要求,严格落实“重大安全风险管控系统”。项目部每月、每季度由项目经理牵头组织领导班子、现场管理
人员、队伍负责人召开有针对性危险源辨识会议,全面梳理现场存在的各类风险源,特别是辨识出重大风险源,比如移动模架施工、钢混结合梁施工、盾构始发、接收等等,针对存在的风险制定出相应的控制措施,指导现场如何规避风险、控制风险。
三、不足之处:
1、应急预案及应急演练停留在纸面上较多,未能针对性的应急演练,应急知识宣传教育频次不够。三违现象仍然普遍存在,多数违规违章作业项目管理人员在场制止不彻底,三违问题渐渐成为常态。主要表现在车站侧墙作业脚手架作业平台不规范,高空作业人员不使用安全带,预留洞口防护不及时,堵漏装修架体搭设使用不规范等。现场吊装作业防护半径不到位,指挥人员沟通不到位,特别是临时吊装作业时,指挥人员与吊车司机不能达到指令统一。
2、机械设备维修保养、实际的进场验收未执行,特别是临租设备缺少验收关、检查关,使用中难免存在不合格、不安全的设备的潜在风险因素,相关特种人员缺少进场教育、交底,不服从项目管理、违章行为时有发生,造成了一定的管理难度。
3、群安员及青年党团员监督岗哨没有很好的在现场的起到监督作用,相关制度没有真正的得到有效落实。同时项目建立的安全质量隐患曝光微信群,安全质量隐患排查系统,相关周检、月检制度在近一段时间里没有得到很好落实。
4、安全管理人员施工组织设计、专项施工方案学习不够,不了解各项施工工艺的原理、流程和关键控制点,技术交底接收了就甩在一边,现场施工完全交由技术人员管理,工序过程参与不多,队伍干成什么样就是什么样。后续管理中需要不断加强学习和业务素质锻炼,熟悉规范、方案、交底,做到工序熟练于心,增强技术上沟通的能力。
5、组织牵头开展的隐患排查频次不够,检查的广度和深度不够彻底,没有深层次结合施工方案、技术交底去盯控危险性较大的分部分项工程安全管理情况,甚至部分危大工程工序施工存在凭经验的现象,无形中带来了一定的安全隐患,组织的讨论会不够深入,没有很好地听到各级管理人员对安全管理的见解,得不到有效的互动。
6、后续需要配合加强工经部对进场劳务人员的年龄、状态等方面的管理,尽量多的参加工经部的现场点名制度和严格安全教育培训制度,认真筛选,为项目部提供优质、熟练、身体素质好等的劳务人员,避免后期可能存在的不必要的麻烦。
7、深入加强安质部门对现场危大工程(一、二类风险)施工工序的安全控制,首先要熟悉危大工程安全管理资料,针对论证方案、技术交底、危险源辨识等资料准确学习认识正在的风险点在哪里,要求现场讨论制定安全卡控明细,针对明细实实在在的逐条检查,存在问题不折不扣的要求整改,既是盯控也是学习的过程。
2019年是项目施工生产的黄金时期,我们将以求真务实的工作态度,雷厉风行的工作作风,更加扎实稳健地做好自己的本职工作和服务好施工现场,为项目的安全质量保驾护航!
二、2020年上半年工作计划部署
(一)工作目标
安质部2020年度安全质量管理工作目标任务,确保完成公司以及项目部下达的“质量创全优、安全零事故”的安全质量目标。
(二)安全质量工作计划部署
安质部在上级主管部门的指导下,根据中铁四局及公司下达的安全质量目标,在项目部领导下组织开展2020年度各项安全质量管理工作,确保本项目安全、优质、高效、低耗实现年度安全、质量、进度目标。
1、施工安全管理方面
(1)坚决贯彻执行国家、集团公司制定的有关工程安全生产方面的法律、法规及各项规章制度。
(2)坚持国家制定的“安全第一、预防为主、综合治理”的安全管理方针。
(3)检查开展危险源辩识及管理工作,将事故隐患消灭在萌芽之中。
(4)检查安全突发事件应急预案演练工作,及时处理突发事件,将各种损失降低到最低程度。
(5)检查施工现场各种应急设备及机械,及时消除安全隐患,确保安全生产。
(6)检查冬雨季施工防洪防汛措施、防寒防冻措施或方案执行落实情况,确保冬雨季施工安全生产。
(7)安全事故处理原则
安全事故应按有关规定程序上报处理。事故的处理实行“四不放过”的原则,即“事故责任不清不放过、责任人不受处理不放过、整改措施不落实不放过、员工没有受到教育不放过。”
(8)安全生产管理原则:施工安全问题实行一票否决制,不得违章指挥、违规作业;重大安全问题或安全责任事故,除对直接责任人处罚外还要追究各级管理单位相关责任人的责任。
(9)项目部始终把安全工作贯穿于施工全过程,让安全生产始终处于受控状态,把事故隐患消灭在萌芽状态,杜绝和避免重特大安全事故发生。
2、施工质量管理方面
(1)坚决贯彻执行国家、中铁四局及公司制定的有关工程质量方面的法律、法规及各项规章制度。
(2)工程质量管理原则:工程质量问题实行一票否决制,不合格工程坚决返工;重大质量问题或质量责任事故,除对直接责任人处罚外还要追究各级管理单位相关责任人的责任。
(4)质量事故处理实行四不放过原则:“事故原因未查清不放过;职工和事故责任人受不到教育不放过;事故隐患不整改不放过;事故责任人不处理不放过。”
(5)加强重难点工程部位施工质量控制,保证施工质量一次合格。
(6)加强结构物外观质量控制工作,创出更多优质工程。
(7)检查冬雨季施工措施或方案执行落实情况,确保冬雨季施工质量。
(8)项目公司质量管理采取组织定期检查、专项检查或日常巡视检查,检查施工质量管理及监理工作,抽查实体工程质量及内业资料,把质量隐患消灭在萌芽状态,始终把质量管理工作贯穿于施工全过程,让工程质量始终处于受控状态。
王治全创业两年多的关键数据:销售额近亿,90天顾客回购率57%。
王治全的一款爆品是240根床品。双十一当天单品SPU卖出4200套,2015年240根床品计划销量在8至10万套。
王治全总结大朴爆品成功三要素:一是思维改变;二是找到目标用户;二是走高性价比路线。
王治全自曝创业的三个深坑:第一个深坑是:创业团队经验丰富不是好事,以PC电商思维要做移动APP。第二个深坑是:用户定位失误,早期定位于小资,后来改为年轻妈妈。第三个深坑是:创业组建豪华团队。
可谓字字血泪。
王治全还在路上。240根床品的对用户蛮有冲击力,广告中也打出向小米致敬,但距离小米级爆品还有距离,期待王治全的产品级爆发。你对王治全的创业之路还有什么问题和拷问,欢迎直接留言。也欢迎推荐够凶猛的爆品案例对象。
以下是大朴网创始人王治全对话和口述:
互联网冲击:既得利益者不愿意改变
互联网品牌未对传统家纺行业造成巨大冲击,最大困难在于既得利益者不愿改变,目前他们总体活得滋润。
2006年我创办库巴后,发现电商行业乱象从生,商品价格虚高、销售效率偏低、供应商骂电商等。我希望创建一个超越品牌的电商平台,方便用户购买便宜商品,而且买到真正需要的商品。2011年库巴转型综合类电商后,我拜访N家家纺厂商,发现家纺行业最大问题是利润虚高、效率极低,而且没有领导品牌。
2012年我把股份全部卖给国美后,把目光瞄向中国人的衣食住行,购买大量行业报告来分析,家纺行业弊端引起我的重视。另外,我还调研日用品等行业,但只对家纺创业感兴趣。在企业发展规划上,首先大方向上选择对社会有价值,其次设计商业路径,最终决定从安全切入家纺行业,无甲醛成为大朴产品的一大特色。
用户是上帝?瞎扯淡!
过去商家把顾客(以下称为“用户”)定义为上帝或衣食父母,我认为纯属瞎扯淡。你能指定用户是上帝,那代表你比上帝更牛,而且当指定某个人是上帝时,逻辑变得混乱,个体不成立总体怎能成立?市场经济体制下,用户与商家是公平交易关系,没有父母与子女之分,我们也没见过商家把用户当爹娘伺候。我认为用户与商家最贴切定义是朋友关系,信任是维系朋友关系的纽带,相互交流取代单方互动,而传统定位理论和品牌发展理论都是商家单方面向用户洗脑的过程。
与其他电商平台限制用户退换货不同的是,大朴上线之初就确立30天无条件免费退换货政策。电商平台各种限制对用户极不公平,以毛巾为例,用户只有过水使用才能判断是否存在质量问题。过去用户退换货,商品入仓检查无误后再退钱/发货,现在用户凭单号即可完成退换货,这才是朋友之间真正的信任。同时,大朴坚决不做虚假宣传。内部员工了解产品全面信息,基本藏不住任何秘密,如果员工不愿意买或向朋友推荐自家产品,公司应立即下架产品。
我认为不是所有用户都是粉丝,只有有价值观的用户才是粉丝,大朴乐意经营有价值观、爱传播的粉丝。我们建立几十个微信群,主要面向参与大朴活动的粉丝,他们在群里吐槽产品、物流等各种问题,来自用户真实声音有助于推动大朴发展,所以必须真诚面对用户,构建双方信任基础。
当与用户建立信任关系后,我们自然享受到粉丝经济的红利,也就是内部倡导与用户交朋友的机制。我经常告诉员工,尽可能置身在交友场景下服务用户。与用户交朋友并非一朝一夕之事,更不是简单地把用户挂在嘴边,除了培养团队价值观,还必须塑造企业文化和破除旧有商业常识。
打造爆品三要素
240根床品是行业奇迹,双十一当天单品SPU卖出4200套。家纺行业很少出现单品SPU年销量破万,2015年240根床品计划销量在8至10万套,这是家纺行业多年来未曾出现的单品SPU。
所以240根床品扮演流量产品的角色,不断为网站导流和制造口碑传播点,直接带动其他产品销售。流量产品不赚钱,但可通过节省营销费用来提升其他产品毛利率。
浴巾品类也曾推出爆款产品,2014年单款浴巾销售12万多条,这是高销量单品SPU之一,同时老粗布凉席也异常火爆,在市场混乱的前提下销量还能保持强劲增长势头,使我们坚定打造更多优秀产品。2015年袜子和内裤将成为重点爆款打造对象。
想把单品打造成爆款,我认为必须具备三大要素:
一是思维改变,千万不能把自己当成神,认为自己都是对的,而应快速试错,用户认可的产品才有可能成为爆品。
二是找到目标用户,如果无法清楚明确目标用户,产品改进陷入尴尬境地。
三是走高性价比路线,产品性价比不高基本没有出路。如果100元产品能达到市场上300元产品品质,它具备成为爆款的潜质。
创业踩过三个深坑
第一个深坑:2012年底,我们捣鼓大朴App,不久便放弃更新与运营,使我反思创业团队经验丰富不一定是好事。当时大朴员工清一色PC电商背景,满脑子都是PC思维。布局移动时,我们发现手机屏幕小产品设计难度大,而且品牌App粘性低容易被卸载,认为App发展前景有限,所以仅把App当成销售品牌,而忽略其作为连接品牌和服务品牌的价值,比如社交功能和客服工具。人往往喜欢做容易而非有前途的事,PC成为当时大朴的发力重点。
第二个深坑:与App犯错相比,用户定位偏差对大朴的打击更为巨大。早期我们把用户定位于创业小有所成的小资,并未深入洞察中高端人群的消费习惯,他们消费特点是有购买力无传播力,大朴无法享受到社交红利,只能靠传统砸广告的方式获取用户,高额成本成为制约企业发展的因素。我们反思站在自身角度思考用户需求是个大坑,以为用日本标准打造产品,做到无甲醛、无荧光增白剂、无致癌物,高大上人群一定会买单。
2014年我们在用户定位上做了大幅调整,把目标人群定位于年轻妈妈,她们有三大特点:一是对价格敏感,二是对产品挑剔,三是传播力强。所以我们把产品价格直降15%,让年轻妈妈买得起,同时面向她们推出各种活动,比如让年轻妈妈的宝贝穿上萌宝,妈妈当内衣模特。
第三个深坑:我们还犯过一个错误,以为创业组建豪华团队便于展开业务,但事实并非如此。豪华团队至少存在三大问题:一是学习新事物能力下降,二是心态发生改变,三是动手能力下降。创业团队光靠指挥别人干活,自己不亲自上阵,容易造成团队效率低下,大朴在人员配置上吃尽苦头。
2014年我们经历了痛苦调整,库巴时代多名高管选择离开。我们反思在新领域创业,带着老部下打天下的做法不可取,而是找行业精英组建全新团队。这是创业者的通病,以为第一次创业成功后还能并肩战斗,但原有团队在陌生领域不适应成为必然,本质上是葬送团队的未来。
供应链管理四大警醒
中国供应链很容易走向恶性循环,只要客户订单足够多,代工厂会为你改变;如果不能提供稳定订单,与代工厂合作会很痛苦。我们也在学习小米,尝试用单品、海量、极致的思路做产品,去年爆红的240根床品是向小米致敬之作,1.8米366元、1.5米299元,产品毛利从20%降到最低,逐渐得到用户认可,在不花一分营销费用的前提下实现大量铺货,订单增加推动工厂为我们单独开封闭车间生产床品,产品质量得到保证,同时有利于优化成本结构。240根床品的面市,使我们明白唯有死磕订单才能改善供应链,因为工厂最喜欢标准化生产。
对创业者而言,供应链管理是极其重要的环节,我总结必须注意4大事项:
一是供应链再难也不能轻易让步,必须与好工厂或大工厂合作,毕竟他们长期经历市场考验,犯错成本高。
二是代工产品尽可能少,大工厂起订量很高,产品线过长使现金流过于分散,而且增加犯错可能性。