信息资产是钢铁企业的重要资产，因此如何控制信息安全风险是企业面临的一个重大的问题。根据钢铁企业组织以及信息系统的架构，依据信息安全风险评估及控制理论，提出了集成技术与管理的钢铁企业信息安全风险多级控制系统框架，支持钢铁企业信息安全风险管理。

    钢铁企业的业务运营对信息系统的依赖性越来越高，信息安全风险问题已经成为了影响钢铁企业销售、生产、研发的重大威胁。传统的方式将整个信息安全管理体系分为管理系统与技术系统两个部分，需要设计一套集成的系统来弥合这两者之间的鸿沟。体系设计的必要性不仅在于集成管理系统与信息系统，并且在于能够为未来信息安全风险管理体系建设提供指导。

    1问题与需求

    1.1信息安全风险对钢铁企业的影响

    近年来，许多钢铁企业都完成了涵盖基础自动化（1级）、过程控制（2级）、生产执行（3级）到专业管理（3级）的信息系统，企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高[I]。因此。信息安全风险对企业的业务影响也非常显着，如黑客人侵、恶意代码传播、员工对信息系统的滥用等，可能造成敏感信息泄漏、生产中断、订单被篡改等，严重影响信息乃至业务的安全。

    1.2传统信息安全风险处置方式

    根据传统方式，信息安全风险管理体系被划分成两个部分，一是信息安全风险管理系统（ISMS），二：是技术管理系统。

    管理系统方面，IS027001给出了信息安全风险管理模型以及一套方法，从而帮助企业建立信息安全管理系统，建没主要包含以下步骤：制定信息安全策略；识别风险；评估风险；选择风险处置的控制目标与措施。

    标准同时还推荐了11个控制域（见图1）的控制措施，以供企业管理信息安全风险时选择。

    图1信息安全风险管理的11个域

    在技术方面，IATF（信息保障技术框架，美国国家安全局）提供了信息基础设施的技术指南。对事关企业使命和业务操作信息基础设施的处理、存储、传输等关键过程进行保护。信息的保护通过信息保障的方式，关注信息基础设施安全的所有方面。通过人员、操作与技术形成纵深防御体系（见图2），最终实现对信息基础设施的管理，达成企业的业务使命。关注的四项技术领域是：网络与基础设施防护、边界防护，计算环境防护与支撑性基础设施防护。

    图2 纵深防御IA体系

    1.3传统信息安全风险处置方式的局限性与企业需求

    技术与管理两个部分对于信息安全风险控i洲有着不同的视角，并且在两部分之间有着明显的沟通鸿沟，特别在钢铁企业中，由于下述原因将造成问题更加严重：

    （1）在管理方面，管理团队关注信息安全风险控制的产出，根据业务影响进行相应的决策并采取行动。焦点在信息、人员以及流程。在钢铁企业，信息安全风险管理系统覆盖多个职能部门与各个层次。运行层管理人员的工作主要在信息安全风险控制，如运行数据分析以及人员协作。决策层的主要工作则是IT系统业务层面的风险控制决策。

    （2）在技术方面，技术团队关注信息系统的状态，依据信息系统产生的数据制定对策，处理IT系统的问题，控制信息系统的漏洞。在钢铁企业中，IT系统分为四个层次，层次之间相互依赖，不同层次、不同信息系统根据用途由不同的部门进行运行。

    从企业的视角来看，信息安全风险控制需要覆盖整个组织，包括管理、运行、人员与IT系统。但传统的方式无法给出组织信息安全风险管理的全景图，技术与管理两个部分的建设均依据风险评估的结果，却没有风险识别与评估的标准，因此，在整个组织范围内建立可行的目标非常困难，同时也非常难以监视与控制风险。对于钢铁企业来说，建立集成的信息安全风险管理系统模型对于有效实施信息安全风险管理是非常有价值的。

    2 设计

    2.1系统结构

    信息安全风险管理系统结构应符合钢铁企业组织结构与IT结构（见图3）的要求，应具有多重性、多层性以及多级性等性质。

    图3风险控制系统的结构

  

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。