一、石化销售企业DevOps信息安全管理建设中存在的主要问题
1.没有信息安全管理的标准和规范,建设没有依据,信息安全管理建设还处于摸索中。
2.公司信息安全设备和系统建设严重不足,目前只应用了低端的亿阳防火墙,入侵检测系统、行为管理系统、网管系统、数据备份系统等都没有使用。
3.实施安全系统和技术后,会使网络行为受到一定的约束和限制,给日常工作带来不便,个别员工存在抵触心理或不支持。
4.通过操作系统管理或桌面安全管理系统可以很好控制USB设备和网络行为的开放,为数据安全提供一定保障,但以工作不便等为由,通过审批,导致开放数量越来越多。加密系统建设方面,考虑可能会给大家的工作带来更多不便,将会受到更多和更严重的用户抵制和不支持,导致无法实施。
5.企业信息安全与工作方便是一对矛盾体,日常工作中不重视或忽视安全的重要性,只考虑方便性,将会影响信息安全建设的效果,给信息安全带来一定隐患,同时会严重影响整个体系建设。
6.信息安全管理人员数量严重不足,缺少对应的组织机构,缺乏激励机制吸引人才。
7.个别领导或员工对信息安全的重视不够,信息安全意识急需加强。
8.信息安全投资效益不能直接显现,很难评估,不容易引起领导重视,人员价值也很难体现。
二、石化销售企业信息安全管理建设的基本原则
信息安全管理建设的思路应该遵循“以应用为龙头,以管理为核心,以技术和产品为手段”的基本原则。做到统一规划,分步实施,按照信息系统的安全需求统一规划,有重点,分步实施,最终建立一个全面的信息安全体系;对于重要的ITEM信息系统,不应仅仅依靠一项预防措施, 而应建立一个多层次的积极主动的防范体系;由于石化销售企业信息系统的严密性、等级性,系统划分的复杂性,权限设置的全面性,信息安全建设也要体现多层次、多等级的原则;信息技术飞速发展,因此为确保安全技术的先进性,信息安全的措施必须及时更新,以适应不断变化的威胁环境;信息安全技术和管理手段应相结合,任何信息系统的应用都离不开人和物,所以信息系统的安全方案必须充分考虑对人和物的约束和监管,单靠技术或单靠管理都不能真正解决安全问题;应实现先进性和可行性相结合,任何安全措施我们既要保持它的系统先进性,同时还要确保它的可操作性。
|