開篇:寫作不僅是一種記錄�,更是一種創造����,它讓我們能夠捕捉那些稍縱即逝的靈感����,將它們永久地定格在紙上��。下面是小編精心整理的12篇企業信息安全管理體系,希望這些內容能成為您創作過程中的良師益友����,陪伴您不斷探索和進步��。
第1篇
關鍵詞:網絡環境 企業信息 安全管理
引言
隨著社會的發展,企業對信息資源的依賴程度來越大��,由此帶來的信息安全問題也日益突出��。生產中的業務數據��、管理中的重要信息,如果企業自身的信息安全管理有重大疏漏,也無法保證數據的安全可靠��。當前,企業在黑客病毒日益猖撅的網絡環境下不僅要保護自身信息的安全����,還要保護業務數據的信息安全����,因此有必要從體系管理的高度構建企業信息安全�。
一、企業信息安全的二維性
當前�,企業信息安全已涉及到與信息相關的各方面��。企業信息安全不僅要考慮信息本身,還需要考慮信息依附的信息載體(包括物理平臺����、系統平臺�、通信平臺�、網絡平臺和應用平臺,例如PC機����、服務器等)的安全以及信息運轉所處環境(包括硬環境和軟環境,例如員工素質����、室內溫度等)的安全��。資產如果不對影響信息安全的各個角度進行全面的綜合分析�,則難以實現企業信息安全。因此,需要從企業信息安全的總體大局出發,樹立企業信息安全的多維性,綜合考慮企業信息安全的各個環節��,揚長避短��,采取多種措施共同維護企業信息安全。
1、技術維:技術發展是推動信息社會化的主要動力��,企業通常需要借助于一項或多項技術才能充分利用信息,使信息收益最大化。然而�����,信息技術的使用具有雙面性���,人們既可以利用技術手段如電子郵件等迅速把信息發送出去����,惡意者也可由此截獲信息內容。為確保企業信息安全,必須合理的使用信息技術�����,因此���,技術安全是實現企業信息安全的核心�。
1)惡意代碼和未授權移動代碼的防范和檢測����。網絡世界上存在著成千上萬的惡意代碼(如計算機病毒、網絡蠕蟲�、特洛伊木馬和邏輯炸彈等)和未授權的移動代碼(如Javaseript腳本�、Java小程序等)�。這些代碼會給計算機等信息基礎設施及信息本身造成損害,需要加以防范和檢測����。
2)信息備份�。內在的軟硬件產品目前還不能確保完全可靠���,還存在著各種各樣的問題��。外在的惡意代碼和未授權移動代碼的攻擊��,也會造成應用信息系統的癱瘓。為確保信息的不丟失����,有必要采取技術備份手段�����,定期備份��。
3)訪問權限。不同的信息及其應用信息系統應有不同的訪問權限,低級別角色不應能訪問高級別的信息及應用信息系統��。為此��,可通過技術手段設定信息的訪問權限�����,限制用戶的訪問范圍����。
4)網絡訪問。當今�,一個離開網絡的企業難以成功運轉����,員工通常需要從網絡中獲取各種信息����。然而,網絡的暢通也給惡意者提供了訪問企業內部信息的渠道�。為此���,有必要采用網絡防火墻技術�����,控制內部和外部網絡的訪問。
2����、管理維:企業信息安全不但需要依靠技術安全���,而且與管理安全也息息相關����。沒有管理安全�����,技術安全是難以在企業中真正貫徹落實的。管理安全在企業中的實施是企業信息得以安全的關鍵。企業應建立健全相應的信息安全管理辦法,加強內部和外部的安全管理、安全審計和信息跟蹤體系��,提高整體信息安全意識���,把管理安全落到實處����。
l)信息安全方針和信息安全政策的制定。信息安全方針和信息安全政策體現了管理者的信息安全意圖,管理者應適時對信息安全方針評審���,以確保信息安全方針政策的適宜性、充分性和有效性。
2)構建信息安全組織架構。為在企業內貫徹既定的信息安全方針和政策����,確保整個企業信息安全控制措施的實施和協調�,以及外部人員訪問企業信息和信息處理設施的安全����,需要構建有效的信息安全組織架構。
二�����、企業信息安全構建原則
企業信息安全構建原則為確保企業信息的可用性�、完整性和機密性,企業在日常運作時須遵守以下原則。
l)權限最小化。受保護的企業信息只能在限定范圍內共享。員工僅被授予為順利履行工作職責而能訪問敏感信息的適當權限。對企業敏感信息的獲知人員應加以限制����,僅對有工作需要的人員采取限制性開放�����。最小化原則又可細分為知所必須和用所必須的原則����,即給予員工的讀權限只限于員工為順利完成工作必須獲的信息內容��,給予員工的寫權限只限于員工所能夠表述的內容。
2)分權制衡。對涉及到企業信息安全各維度的使用權限適當地劃分����,使每個授權主體只能擁有其中的部分權限��,共同保證信息系統的安全。如果授權主體分配的權限過大,則難以對其進行監督和制約�����,會存在較大的信息安全風險�。因此,在授權時要采取三權分立的原則,使各授權主體間相互制約、相互監督�,通過分權制衡確保企業信息安全�����。例如網絡管理員、系統管理員和日志審核員就不應被授予同一員工。
三�����、企業信息安全管理體系的構建
信息安全管理體系模型企業信息安全管理體系的構建要統籌考慮多方面因素����,勿留短板。安全技術是構建信息安全的基礎,員工的安全意識和企業資源的充分提供是有效保證安全體系正常運作的關鍵��,安全管理則是安全技術和安全意識恒久長效的保障��,三者缺一不可�����。因此����,在構建企業信息安全管理體系時,要全面考慮各個維度的安全����,做好各方面的平衡���,各部門互相配合�,共同打造企業信息安全管理平臺��?����?茖W的安全管理體系應該包括以下主要環節:制定反映企業特色的安全方針、構建強健有力的信息安全組織機構���、依法行事、選擇穩定可靠的安全技術和安全產品��、設計完善的安全評估標準����、樹立.員工的安全意識和營造良好的信息安全文化氛圍等。因此��,為了使企業構建的信息安全管理體系能適應不斷變化的風險�,必須要以構建、執行�、評估��、改進、再構建的方式持續地進行��,構成一個P(計劃)、D(執行)��、C(檢查)��、A(改進)反饋循環鏈以使構建的企業信息安全管理體系不斷地根據新的風險做出合理調整。
四��、結論
信息安全管理體系的構建對企業高效運行具有重要意義�。只有全面分析影響企業信息安全的各種來源后才能構建良好的企業信息安全管理體系。從大量的企業案例來看���,技術、管理和資源是影響企業信息安全的3個角度�����。為此���,應從技術��、管理和資源出發考慮信息安全管理體系的構建原則和企業信息安全管理體系應滿足的基本要求�����。同時,也應注意到�����,信息安全管理體系的構建不是一勞永逸而是不斷改進的�����,企業的信息安全管理體系應遵從PDCA的過程方法論持續改進�,才能確保企業信息的安全長效�����。
參考文獻:
第2篇
1安全建設方法
長期以來���,中國大多數企業的信息安全建設遵循“木桶理論”,但實踐證明���,在企業信息安全領域應用木桶理論仍存在一定缺陷,很難實現“標本兼治”����。企業信息安全應從安全策略�����、安全管理體系、安全技術體系和安全運維體系四個方面建設一個完善的信息安全體系對企業的信息資源提供全方位的安全防護。整個安全體系以安全策略為核心�,管理����、技術��、運維三者有機結合�����,又相互支撐。三者之間的關系為“根據管理體系中的策略,由相關組織或人員,利用技術體系作為工具和手段���,進行操作來維持運行體系”。在建立信息安全體系的過程中,可采用ISO27001:2005所述的“過程方法”�,即將“規劃(Plan)-實施(Do)-檢查(Check)-處置(Act)”(PDCA)四個步驟��。
2安全策略
信息安全策略研究就是依據國家信息安全的方針政策、法律法規和工作要求,結合企業實際情況和管理要求,制訂企業信息安全防護的建設方針和基本要求��,對信息安全管理體系�����、技術體系和運維體系中的各種安全控制措施和機制的部署提出目標和原則,是信息化“建、管、用”各項工作和各個環節必須遵守的安全規則����,也是針對每個系統和設備制訂分項安全策略的依據�。
3安全管理
信息安全管理可參照信息安全管理模型,按照先進的信息安全管理標準ISO17799標準建立組織完整的安全管理體系并實施與保持,達到動態的、系統的�����、全員參與��、制度化的����、以預防為主的信息安全管理方式���。管理體系架構可分為四層�,最高層為企業信息安全總體策略,為下面的各項分策略和具體的規章制度提供指導。第二層為企業信息安全組織體系,作用在于指導實施安全體系,制定安全的相關標準和方針���,監管安全事件等。組織體系須設立專門的管理機構,配備相應的安全管理人員���,明確主管領導,落實部門責任,各盡其職。第三層為根據總策略��,對信息安全涉及的各方面制定有針對性的分項策略�,為安全的具體實施提供管理和技術上的指導。第四層為具體的安全管理制度。
4安全技術
企業信息安全技術應從網絡��、軟件���、主機��、數據和應用五個方面���,通過使用安全產品和技術,支撐和實現安全策略����,達到信息系統的保密�����、完整、可用等安全目標�����。按照P2DR2模型�,信息安全技術體系涉及信息安全防護、檢測����、響應和恢復四個方面的內容�。比如如何通過安全控制措施使信息系統具備比較完善的抵抗攻擊破壞的能力��。如何采取檢測����、審計等技術手段對信息系統運行狀態和操作行為進行監控和記錄�,及時發現安全隱患和入侵行為并發出告警。如何通過事件監控在發現安全保護對象的安全狀態發生改變時�����,特別是由安全變為不安全���,采取措施對其進行響應處理���,直至恢復安全狀態�,并在安全事件發生后能夠及時進行分析���、定位�、跟蹤、排除和取證�����。如何建立信息系統應用和數據備份和恢復機制�,保證在發生安全事件發生后能夠及時有效地對信息系統的應用和數據進行恢復.
作者:吳洪亮單位:龍巖煙草工業有限責任公司
第3篇
[關鍵詞]信息安全;管理;控制���;構建
中圖分類號:X922���;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升�,大多數企業在信息安全建設上逐步添加了上網行為管理����、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段�����,信息安全策略都是在安全事件發生后再補救���,導致了企業信息防范的主動性和意識不高����,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性�����。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構��、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善?;酒髽I信息安全管理過程包括:分析企業數字化資產評估和風險分析�����、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等����。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中��,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時��,絕對不能忽視對人的行為規范和績效管理����。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠���、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施����。企業對員工進行逐次的安全培訓����,強化企業員工對信息安全的概念�����,提升員工的安全意識��。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別��、網絡隔離�、網絡安全掃描��、實時監控與入侵發現����、安全備份恢復等����。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限����,達到企業敏感信息的安全保障�����。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構����,在滿足終端安全����、網絡安全、應用安全、數據安全等安全防護體系時��,我們需要重點關注以下幾個方面:
3.1 實施終端安全�����,規范終端用戶行為
在企業信息安全事件中�,數字化成果泄漏是屬于危害最為嚴重的一種行為����。企業信息安全體系建立前���,企業員工對自己的個人行為不規范��,造成了員工可以通過很多方式實現信息外漏���。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果��。對于這類高危的行為,我們在建設安全防護體系時��,僅僅靠上網行為管理控制是不能完全杜絕的����。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查��,符合企業制定的終端安全要求后再接入企業內網���。同時配合上網行為管理的策略對員工的上網行為進行審計����,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平����。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中���,考慮總部和分支機構的信息化需要�����,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN�����,VPN加密傳輸都是通用的選擇�。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接����,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別��。其實我們在設備采購時����,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式�����。這將有利于企業日常維護�����,提升企業信息系統的VPN接入水平����。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構����,合理的規劃安全網絡邊際將是關鍵��。企業的網絡體系可以分為:物理層;數據鏈路層��;網絡層�;傳輸層;會話層����;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節�����。在企業多樣化網絡環境的背景下�,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護��。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系�,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視����、可控和可管”�����。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異��。所以當安全事件發生時�,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視�����、可控和可管”�����。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整�����。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制��,保證備份數據的安全性可靠性��。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性����,真正為企業的核心業務提供安全保障��。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012��,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業�����,2011�,08:69.
[3] 彭佩��,張婕�,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術�,2014,12:42-45+48.
[4] 劉小發�����,李良�����,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術��,2013��,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察��,2014����,27:81-83.
第4篇
1.1電子信息的加密技術
所謂電子信息的加密技術也就是對于所傳送的電子信息能夠起到一定的保密作用�����,也能夠使信息��、數據的傳遞變得更加安全和完整。電子信息的加密技術是保障電子科技企業信息安全的重要保證�。加密技術也主要分為對稱以及非對稱兩類��,對稱的加密技術一般都是通過序列密碼或是分組機密的方式來實現的。這其中還包括了明文�、密鑰��、加密算法以及解密算法五個基本的組成部分。而非對稱加密與對稱加密也存在一定的差異���,非對稱加密必須要具備公開密鑰和私有密鑰兩個密鑰,同時��,這兩種密鑰只有配對使用��,這樣才能解密�。因此加密技術對于電子信息的安全具有很大的保障�����。如果在發送電子信息的時候����,發送人是使用加密技術來發送郵件的��,那么有人竊取信息的時候��,也只能夠得到密文,不能得到具體的信息��。這樣就大大加強了信息傳送的安全性��。加快推進國內關鍵行業領域信息系統的安全評估測試。在安全評估方面��,主要針對主機安全保密檢查與信息監管��,采取文件內容檢索����、惡意代碼檢查�、數據恢復技術、網絡漏洞掃描、互聯網網站檢測��、語意分析等技術�����,評估分析重要信息是否發生泄漏�,并找出泄漏的原因和渠道����。
1.2防火墻技術
隨著網絡技術的不斷發展,雖然對于信息安全問題已經不斷的得到加強,但是一些信息的不安全因素也在逐級的提高����。有一些黑客或者是病毒木馬也在不斷的入侵���,而這些不安全的因素會極大的威脅到電子科技企業信息的安全��。而針對這種情況,一種比較有效的防護措施就是防火墻技術的使用。這種技術可以有效的防止黑客的入侵以及電腦中的信息被篡改等情況的發生�����。這樣就能夠有效的保障電子科技企業信息的安全����。加強企業信息基礎設施和重要信息系統建設,建設面向企業的信息安全專業服務平臺。重點開展等級保護設計咨詢、風險評估�����、安全咨詢�、安全測評、快速預警響應、第三方資源共享的容災備份�、標準驗證等服務����;建設企業信息安全數據庫����,為廣大企業提供快速��、高效的信息安全咨詢、預警、應急處理等服務���,實現企業信息安全公共資源的共享共用,提高信息安全保障能力���。
二���、解決電子科技企業信息安全問題的方法
2.1構建電子科技企業信息安全的管理體系
如果要想有效的保障電子科技企業的信息安全,除了要不斷的提高安全技術水平���,還要建立起一套比較完善的信息安全管理體系。這樣才能使整個信息安全工作更加有條不紊的進行�����。在很多電子科技企業當中,最初所建立的相關信息制度在很大程度上都制約著信息系統的安全性����。如果一旦安全管理制度出現了問題��,那么一系列的安全技術都無法發揮出來。很多信息安全工作也無法正常進行下去。因此,嚴格的信息安全管理體系對于信息安全的保障具有十分重要的作用。只有當信息安全管理形成了一個完善的體系,那么信息安全工作才能夠更加順利的進行���,同時也能夠大大的提升信息安全的系數�。
2.2利用電子科技企業自身的網絡條件來提供信息安全服務
一般來說��,電子科技企業都擁有自己的局域網���,很多企業也可以通過局域網來相互連通��。因此�,電子科技企業應該充分的利用這一特點為自身的企業提供良好地信息安全服務�����。通過局域網的連通,不僅能夠在這個平臺上及時的公布一些安全公告以及安全法規�,同時還可以進行一些安全軟件的下載�,為員工提供一些關于信息安全的培訓。這樣不僅能夠為企業之間的員工提供一個安全的互相交流的平臺��,同時還能夠很好的保障企業信息安全。針對企業主機安全保密檢查與信息監管����,采取文件內容檢索、惡意代碼檢查��、數據恢復技術��、網絡漏洞掃描����、互聯網網站檢測�����、語意分析等技術����,評估分析重要信息是否發生泄漏,并找出泄漏的原因和渠道��。
2.3定期對信息安全防護軟件進行及時的更新
第5篇
【關鍵詞】信息安全 管理 控制 構建
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理���、內網安全管理等新的安全設備�,但信息安全防護理念還停留在防的階段��,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求����。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構�����、制定信息安全管理規范�����,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善����?;酒髽I信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略����、選用安全可靠的的防護產品等��。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時���,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范�,有效地實現企業信息系統和數字化成果的安全����、可靠���、穩定運行����,保證企業信息安全����。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施��。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識��。使員工的行為符合整個企業信息安全的防范要求��。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時��,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離����、網絡安全掃描�����、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源�����,并且可以根據員工級別分配人員訪問權限��,達到企業敏感信息的安全保障�。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構�����,在滿足終端安全�、網絡安全����、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全�,規范終端用戶行為
在企業信息安全事件中��,數字化成果泄漏是屬于危害最為嚴重的一種行為���。企業信息安全體系建立前�,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏���。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為���,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的��。應該當用戶接入企業信息化平臺前����,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網����。同時配合上網行為管理的策略對員工的上網行為進行審計�,使得企業員工的操作行為符合企業制定的上網行為規范�,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中�����,考慮總部和分支機構的信息化需要��,必然會采用VPN方式來解決企業的需求����。不論是采用SSL VPN還是IPSecVPN�����,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求���,并且幫助企業搭建認證方式����。這將有利于企業日常維護�����,提升企業信息系統的VPN接入水平����。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時�,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵��。企業的網絡體系可以分為:物理層�;數據鏈路層;網絡層�;傳輸層�;會話層�;表示層;應用層��。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節���。在企業多樣化網絡環境的背景下�����,根據企業安全優先級及面臨的風險程度�����,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護�,真正實現OSI的L2~L7層的安全防護�。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系����,重要的優勢就是能實現對全網安全設備及安全事件的統一管理�����,做到對整個網絡安全事件的“可視�����、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低��。而且不同安全廠商的日志報表還存在很大差異��。所以當安全事件發生時����,企業管理員很難實現對信息安全的統一分析和管理�。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析����。這樣才能做到對全網安全事件的“可視����、可控和可管”����。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃�����,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制�,保證備份數據的安全性可靠性��。同時全體企業員工一起遵守企業制定的信息安全防護管理規定�,這樣才能為企業的信息安全提供生命力和主動性��,真正為企業的核心業務提供安全保障�。
參考文獻
[1]郝宏志.企業信息管理師[M].北京:機械工業出版社�,2005.
[2]蔣培靜.歐美國家如何培養網絡安全意識[J].中國教育網絡�,2008(7):48-49.
作者簡介
常勝(1982-)�,男,回族����,天津市人?���,F為中國市政工程華北設計研究總院有限公司工程師���。研究方向為網絡安全與服務器規劃部署���。
第6篇
信息安全準則是風險評估和制定最優解決方案的關鍵����,優秀的信息安全準則包括:根據企業業務目標執行風險管理;有組織的確定員工角色和責任;對用戶和數據實行最小化權限管理��;在應用和系統的計劃和開發過程中就考慮安全防護的問題���;在應用中實施逐層防護�;建立高度集成的安全防護框架;將監控���、審計和快速反應結合為一體。良好信息安全準則可以讓企業內外部用戶了解企業信息安全理念���,從而讓企業信息管理部門更好地對風險進行管控��。
2企業信息安全管理的主要手段
2.1網絡安全
(1)保證安全的外部人員連接���。在日常工作中�,外部合作伙伴經常會提出聯入企業內網的需求��,由于這些聯入內網的外部人員及其終端并不符合企業的信息安全標準��,因此存在信息安全隱患?���?刂拼祟愶L險的手段主要有:對用戶賬戶使用硬件KEY等強驗證手段��;全面管控外部單位的網絡接入等。
(2)遠程接入控制��。隨著VPN技術的不斷發展�����,遠程接入的風險已降低到企業的可控范圍���,而近年來移動辦公的興起更是推動了遠程接入技術的發展����。企業采用USBKEY��,動態口令牌等硬件認證方式的遠程接入要更加的安全�����。
(3)網絡劃分����。在過去,企業內部以開放式的網絡為主。隨著網絡和互聯網信息技術的成熟�����,非受控終端給企業內網帶來的安全壓力越來越大����。這些不受信任的終端為攻擊者提供了訪問企業網絡的路徑。信息管理部門可以利用IPSec技術有效提高企業網絡安全����,實現對位于公司防火墻內部終端的完全管控�。
(4)網絡入侵檢測系統。網絡入侵檢測系統作為防火墻的補充���,主要用于監控網絡傳輸,在檢測到可疑傳輸行為時報警���。作為企業信息安全架構的必備設備,入侵檢測系統能有效防控企業外部的惡意攻擊行為��,隨著信息技術的發展�����,各大安全廠商如賽門鐵克����,思科等均研發出來成熟的入侵檢測系統產品��。
(5)無線網絡安全��。無線網絡現在已遍布企業的辦公區域��,給企業和用戶帶來便利的同時也存在信息安全的隱患���。要保證企業內部無線網絡的安全�����,信息管理部門需要使用更新更安全的協議(如無線保護接入WPA或WPA2);使用VLAN劃分和域提供互相隔離的無線網絡;利用802.1x和EAP技術加強對無線網絡的訪問控制。
2.2訪問控制
(1)密碼策略。高強度的密碼需要幾年時間來破解��,而脆弱的密碼在一分鐘內就可以被破解��。提高企業用戶的密碼強度是訪問控制的必要手段�。為避免弱密碼可能對公司造成的危害���,企業必須制定密碼策略并利用技術手段保證執行����。
(2)用戶權限管理。企業的員工從進入公司到離職是一個完整的生命周期,要便捷有效地在這個生命周期中對員工的權限進行管理�,需要企業具有完善的身份管理平臺��,從而實現授權流程的自動化,并實現企業內應用的單點登陸。
(3)公鑰系統。公鑰系統是訪問控制乃至信息安全架構的核心模塊�,無線網絡訪問授權��,VPN接入,文件加密系統等均可以通過公鑰系統提升安全水平,因此企業應當部署PKI/CA系統�����。
2.3監控與審計
(1)病毒掃描與補丁管理�。企業需要統一的防病毒系統和終端管理系統,在終端定期更新病毒定義�����,進行病毒自掃描��,自動更新操作系統補丁,以減少桌面終端的安全風險����。此類管控手段通常需要在用戶的終端上安裝客戶端����,或對終端進行定制��,在終端接入企業內網時�,終端管理系統會在隔離區域對該終端進行綜合評估打分����,通過評估后方能接入內網。才能保證系統的安全策略被有效執行�����。
(2)惡意軟件防控���。主流的惡意軟件防控體系主要由五部分構成:防病毒系統;內容過濾網關��;郵件過濾網關����;惡意網頁過濾網關和入侵檢測軟件。
(3)安全事件記錄和審計����。企業應當配置日志審計系統�,收集信息安全事件�����,產生審計記錄,根據記錄進行安全事件分析�����,并采取相應的處理措施����。
2.4培訓與宣傳提高企業管理層和員工的信息安全意識,是信息安全管理工作的基礎�。了解信息安全的必要性�,管理層才會支持信息安全管理建設���,用戶才會配合信息管理部門工作�����。利用定期培訓�����,宣傳海報,郵件等方式定期反復對企業用戶進行信息安全培訓和宣傳��,能有效提高企業信息安全管理水平����。
3總結
第7篇
關鍵詞:供電企業;信息安全;電力;網絡信息化
DOI:10.16640/ki.37-1222/t.2015.21.131
0 引言
在我國能源行業中,供電企業占有十分重要的地位��。目前�,供電企業體制改革正在逐步走向信息智能化,網絡信息系統在供電企業中的構建也變得日益完善[1-3]��。這也使得供電企業對信息化的依賴程度越來越強�,隨之而來的信息安全問題也日益突出[4-6]。因此�,構建完善合理的信息安全管理系統已成為供電企業亟需解決的問題����。本文以國家電網遼寧省遼陽縣供電公司為例�,分析了目前存在的信息安全問題�,并提出了一些改進措施。
1 信息安全存在的問題
供電企業網絡信息系統面臨的安全問題越來越多,歸結起來主要表現在:系統漏洞;病毒感染;企業信息安全維護人員不足;人員信息安全意識薄弱;信息安全制度管理不完善等幾個方面�。
(1)系統安全漏洞���。任何軟件和系統都會存在一定的安全漏洞�,所以說絕對安全的系統實際上是不存在的�����,供電企業的網絡系統也同樣如此����。由于漏洞的存在�����,病毒����、木馬和黑客等一些攻擊者可以利用這些“缺陷”攻擊供電企業的網絡��,甚至可以獲得計算機的管理權限����。顯然,這對于供電企業來說是非常危險的�,會導致嚴重的安全問題����。
(2)病毒感染����。計算機病毒(Computer Virus)是一種編制者在計算機程序中插入的破壞計算機功能或者破壞數據�,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,具有很強的寄生性、破壞性和傳染性�����,被稱為計算機系統的頭號敵人�����。一旦侵入計算機�,引發的危害相當嚴重�,會破壞系統文件,偷盜計算機中有用信息��,導致系統無法正常運行����。在供電企業中使用信息網絡技術時,由于大量的企業重要機密和客戶信息儲存在計算機系統中,計算機病毒一旦入侵并破壞計算機系統���,系統中收集的重要資料將會丟失,損失是災難性的。
(3)缺乏足夠的系統維護人員�。供電企業信息安全需要一定的專業技術技術人員來維護��,但是在大部分供電企業中,以作者所在遼陽縣供電公司為例,專門從事網絡信息系統安全維護工作的專業技術人員僅有5位,這么少的專業技術人員承擔不了繁重的電力網絡信息安全工作,所以當企業的網絡信息系統發生故障時,維護工作得不到有效的實施,進而影響供電企業的信息安全�。
(4)人員信息安全意識薄弱�。在供電企業中應用計算機信息網絡技術時���,由于相關電力工作人員安全意識薄弱而導致的企業信息安全問題時有發生�,大大減弱了供電企業信息安全防御能力。例如相關技術人員的不認真導致誤操作、未及時修復系統漏洞或者通過外接儲存設備導致機密信息和重要文件的泄露等�,這些由工作人員人為因素導致的安全問題將會在很大程度上影響供電企業的信息安全�。
(5)信息安全管理制度不完善�。多數供電企業的安全制度制定不夠完善,沒有高度重視和落實企業信息安全制度。經常會出現機密文件隨處放�、系統口令不設置、打印設備及網絡共享等問題����。這些問題的存在同樣也會危害到供電企業的信息安全�。
2 針對供電企業信息安全問題的相應措施
針對以上所述的信息安全問題��,為了有效提高供電企業網絡信息系統的安全性����,我們提出了以下幾個方面的改進措施����。
(1)漏洞掃描和彌補漏洞缺陷。漏洞掃描包括基于主機的漏洞掃描和基于網絡的漏洞掃描��,是一項既經濟又實用的安全策略�,及時發現漏洞并修補,可以防止安全隱患向安全事件的轉變���。可針對我公司計算機中的數據庫�、操作系統及應用服務等進行漏洞掃描并修補���,做到未雨綢繆����,進一步保證網絡信息系統的安全運行����。
(2)防止病毒侵入計算機。隨著全球智能電網的推進��,供電公司的網絡和辦公也越來越智能信息化����,這就給計算機病毒的傳播提供了一個重要的傳播途徑����。因此����,供電企業各部門必須建設標準化的個人終端��,對病毒軟件做到不間斷的更新�,完善補丁�。另外需要特別注意的是要嚴格控制盜版軟件的使用,掌握更多的安全措施來防范木馬病毒�����,嚴格控制用戶訪問權限���。
(3)增強信息系統運行維護管理��。針對作者所在供電公司�,現在尚沒有獨立的部門進行信息系統運行維護�����,所以首先需要建立獨立的運維部門����,并增設足夠的專業技術人員進行網絡信息運行維護;并對技術人員進行部門內分工�����,制定相應的管理措施����,完善整個網絡信息維護流程;另外��,需要對專業技術人員進行定期職業培訓,提高他們的操作管理水平。
(4)提升員工信息安全防患意識����。在適應網絡信息技術潛在的快速發展要求的基礎上����,通過對全體員工采取信息安全培訓與考核等有力措施�,使得企業決策、管理、操作等各個層面的信息安全防范意識得到有效增強�,企業信息安全管理經驗也得到大量積累��。如此,整個供電企業的信息安全水平會因為全體員工顯著地信息安全防患意識而得到提升。
(5)改進信息安全管理制度體系�����。加快三級信息安全管理體系(信息安全管理部門�、網絡技術部門以及相關其他職能部門、基層單位)的建設步伐;具體落實針對主機設備、網絡設備����、機房其他設施設備(例如防靜電地板��、電源、空調、其他附屬設施等)以及員工管理的相應管理制度的制定完善工作;明確管理人員�、網絡維護人員����、外來人員的職責范圍�����,確立身份認證制度����,涉及機密文件的員工要簽署保密協議����,對外來人員的進出要登記等。
3 結束語
為保障供電企業的快速可持續發展�,就要確保企業信息系統的安全穩定����,就要在發現信息安全問題的基礎上不斷改進安全策略���,促進合理完善的信息安全管理體系的構建�����。供電企業要完善信息安全管理制度����,提高員工的信息安全防患意識��,增強信息系統的運行維護管理����,加強網絡信息的安全監控����,進而保證供電企業信息安全。
參考文獻:
[1]吳金文�,程麗琴.淺析供電企業信息安全管理[J].科技與創新�����,2015(11):50.
[2]洪杰��,段成鐸.電力企業信息系統風險與安全管理研究[J].科技與創新���,2015��,18(13):89-90.
第8篇
【關鍵詞】等級保護;虛擬專網��;VPN
1.引言
隨著因特網技術應用的普及���,以及政府�、企業和各部門及其分支結構網絡建設和安全互聯互通需求的不斷增長,VPN技術為企業提供了一種低成本的組網方式��。同時�����,我國現行的“計算機安全等級保護”也為企業在建設信息系統時提供了安全整體設計思路和標準�。如何充分利用VPN技術和相關產品����,為企業提供符合安全等級保護要求、性價比高的網絡安全總體解決方案�����,是當前企業信息系統設計中面臨的挑戰��。
2.信息安全管理體系發展軌跡
對于信息安全管理問題�,在上世紀90年代初引起世界主要發達國家的注意�,并投入大量的資金和人力進行分析和研究。英國分別于1995年和1998年出版BS7799標準的第一部分《信息安全管理實施細則》和第二部分《信息安全管理體系規范》���,規定信息安全管理體系與控制要求和實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準����,是一個全面信息安全管理體系評估的基礎和正式認證方案的根據。國際標準化組織(ISO)聯合國際電工委員會(IEC)分別于2000年和2005年將BS7799標準轉換為ISO/IEC 17799《信息安全管理體系 實施細則》和ISO/IEC 27001《信息安全管理體系 要求》���,并向全世界推廣。中國國家標準化管理委員會(SAC)于1999年了GB/T 17859《計算機信息系統安全保護等級劃分準則》標準�����,把信息安全管理劃分為五個等級���,分別針對不同組織性質和對社會、國家危害程度大小進行了不同等級的劃分���,并提出了監管方法。2008年制訂并下發了與ISO/IEC 17799和ISO/IEC 27001相對應的GBT 22081-2008《信息安全管理體系 實用規則》和GBT 22080-2008《信息安全管理體系 要求》��。
3.信息系統安全的等級
為加快推進信息安全等級保護�,規范信息安全等級保護管理,提高信息安全保障能力和水平�,維護國家安全�����、社會穩定和公共利益,保障和促進信息化建設��,國家公安部�、保密局、密碼管理局和國務院信息化工作辦公室等�,于2007年聯合了《信息安全等級保護管理辦法》�,就全國機構/企業的信息安全保護問題��,進行了行政法規方面的規范��,并組織和開展對全國重要信息系統安全等級保護定級工作。同時����,制訂了《信息系統安全等級保護基本要求》����、《信息系統安全等級保護實施指南》�、《信息系統安全等級保護測評準則》和《信息系統安全等級保護定級指南》等相應技術規范(國家標準審批稿)���,來指導國內機構/企業進行信息安全保護����。
在《信息系統安全等級保護基本要求》中,要求從網絡安全、主機安全��、應用安全����、數據安全及備份恢復、系統運維管理、安全管理機構等幾方面�����,按照身份鑒別��、訪問控制��、介質管理、密碼管理、通信和數據的完整�、保密性以及數據備份與恢復等具體要求�����,對信息流進行不同等級的劃分,從而達到有效保護的目的�。信息系統的安全保護等級分為五級:第一級為自主保護級����,第二級指導保護級�,第三級為監督保護級,第四級為強制保護級,第五級為專控保護級�����。
針對政府�、企業常用的三級安全保護設計中�,主要是以三級安全的密碼技術、系統安全技術及通信網絡安全技術為基礎的具有三級安全的信息安全機制和服務支持下�����,實現三級安全計算環境��、三級安全通信網絡����、三級安全區域邊界防護和三級安全管理中心的設計�。
圖1 三級系統安全保護示意圖
圖2 VPN產品部署示意圖
4.VPN技術及其發展趨勢
VPN即虛擬專用網,是通過一個公用網絡(通常是因特網)建立一個臨時的�、安全的連接���,是一條穿過混亂的公用網絡的安全����、穩定的隧道。通常�����,VPN是對企業內部網的擴展����,通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接�����,并保證數據的安全傳輸�����。VPN可用于不斷增長的移動用戶的全球因特網接入,以實現安全連接��;可用于實現企業網站之間安全通信的虛擬專用線路��,用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網��。
VPN使用三個方面的技術保證了通信的安全性:隧道協議、身份驗證和數據加密�����。VPN通道的加密方式成為主要的技術要求��,目前VPN技術主要包括IPSec VPN�,非IPSec VPN(如PPTP���,L2TP等)����,基于WEB的SSL VPN等。
IPSec VPN是基于IPSec協議的VPN產品�����,由IPSec協議提供隧道安全保障�����,協議包括AH���、ESP、ISAKMP等協議。其通過對數據加密����、認證��、完整性檢查來保證數據傳輸的可靠性、私有性和保密性。通過采用加密封裝技術����,對所有網絡層上的數據進行加密透明保護���。IPSec協議最適合于LAN到LAN之間的虛擬專用網構建�����。
SSL VPN是基于SSL協議的VPN產品。在企業中心部署SSL VPN設備,無需安裝客戶端軟件�,授權用戶能夠從任何標準的WEB瀏覽器和互聯網安全地連接到企業網絡資源�。SSL VPN產品最適合于遠程單機用戶與中心之間的虛擬網構建��。
整個VPN通信過程可以簡化為以下4個步驟:
(1)客戶機向VPN服務器發出連接請求���。
(2)VPN服務器響應請求并向客戶機發出身份認證的請求�����,客戶機與VPN服務器通過信息的交換確認對方的身份��,這種身份確認是雙向的。
(3)VPN服務器與客戶機在確認身份的前提下開始協商安全隧道以及相應的安全參數��,形成安全隧道�。
(4)最后VPN服務器將在身份驗證過程中產生的客戶機和服務器公有密鑰將用來對數據進行加密,然后通過VPN隧道技術進行封裝��、加密����、傳輸到目的內部網絡�����。
目前國外公開的相關VPN產品多數采用軟件加密的方式�,加解密算法也多使用通用的3DES�����、RSA加解密算法��,不符合國家密碼產品管理和應用的要求?����!渡逃妹艽a管理條例》(中華人民共和國國務院第273號令����,1999年10月7日)第四章第十四條規定:任何單位或者個人只能使用經國家密碼管理機構認可的商用密碼產品,不得使用自行研制的或者境外生產的密碼產品。國家密碼管理局在2009年針對VPN產品下發了《IPSec VPN技術規范》和《SSL VPN技術規范》,明確要求了VPN產品的技術體系和算法要求�。
5.VPN技術在等級保護中的應用
在三級防護四大方面的設計要求中����,VPN技術可以說是在四大方面的設計要求中都有廣泛的應用:
在安全計算環境的設計要求中:首先在實現身份鑒別方面����,在用戶訪問的中心,系統管理員都統一建立的有用戶的用戶組和用戶名,用戶會通過VPN的設備登錄訪問中心的應用系統�����,當身份得到鑒別通過時才可訪問應用系統��;其次在數據的完整性保護和保密性保護上都能夠防止用戶的數據在傳輸過程中被惡意篡改和盜取。
在安全區域邊界的設計要求中:網絡邊界子系統的邊界控制與VPN功能一體化實現�����,在保證傳輸安全性的同時提高網絡數據包處理效率����。
在安全通信網絡的設計要求中:網絡安全通信的子系統主要是為跨區域邊界的通信雙方建立安全的通道,通過IPSEC協議建立安全的VPN隧道傳輸數據�。完成整個應用系統中邊界或部門服務器邊界的安全防護����,為內部網絡與外部網絡的間的信息的安全傳輸提供加密�、身份鑒別及訪問控制等安全機制。在客戶端和應用服務器進出的總路由前添加網絡VPN網關��,通過IPSEC協議或者SSL協議建立VPN隧道為進出的數據提供加密傳輸�,實現應用數據的加密通信。
在安全管理中心的設計要求中:系統管理中�����,VPN技術在主機資源和用戶管理能夠實現很好的保護����,對用戶登錄、外設接口�、網絡通信���、文件操作及進程服務等方面進行監視機制�,確保重要信息安全可控,滿足對主機的安全監管需要���。
在信息系統安全等級保護設計中VPN產品的部署示意圖如圖2所示。
第9篇
關鍵詞:信息安全���;防護體系
隨著企業各個業務系統的深化應用,企業的日常運作管理越來越倚重信息化����,越來越多的數據都存儲在計算機上。信息安全防護變得日益重要��,信息安全就是要保證信息系統安全����、可靠、持續運行�����,防范企業機密泄露��。信息安全包括的內容很多��,包括主機系統安全、網絡安全��、防病毒�、安全加密、應用軟件安全等方面����。其中任何一個安全漏洞便可以威脅全局����。隨著信息化建設地不斷深入和發展�����,數據通信網改造后��,市縣信息網絡一體化相互融合,安全防護工作尤顯重要���。如何保障縣公司信息網絡安全成為重要課題��。信息安全健康率主要由兩方面體現�,一是提升安全防護技術手段�,二是完善安全管理體系。安全防護技術手段主要側重于安全設備的應用、防病毒軟件的部署��、安全策略的制定��、桌面終端的監管���、安全移動介質����、主機加固和雙網雙機等方面����,安全管理則側重于信息安全目標的建立、制度的建設、人員及崗位的規范�����、標準流程的制定�����、安全工作記錄����、信息安全宣傳等方面[1]����。因此,企業要提升信息安全����,必須從管理機制����、技術防護�、監督檢查、風險管控等方面入手,并行采取多種措施����,嚴密部署縣公司信息安全防護體系��,確保企業信息系統及網絡的安全穩定運行,主要體現在以下幾方面:
1機制建立是關鍵
企業信息安全防護“七分靠管理,三分靠技術”,沒有嚴謹的管理機制,安全工作是一紙空談,因此��,做好防護工作必須先建立管理體系�����。一是完善組織機制��。在企業信息安全工作領導小組之下,設立縣公司數據通信網安全防護工作組,由信通管理部門歸口負責日常工作��,落實信息安全各級責任����。將信息安全納入縣公司安全生產體系,進而明確信息安全保障管理和監督部門的職責���。建立健全信息安全管理等規章制度,加強信息安全規范化管理���。二是強化培訓機制。根據近年來信息安全的研究�,企業最大信息安全的威脅來自于內部���,因此��,企業應以“時時講信息安全����,人人重信息安全,人人懂信息安全”為目標����,開展“教育培訓常態化����、形式內容多樣化�、培訓范圍全員化、內容難度層次化”培訓工作�,為信息安全工作開展提供充分的智力保障�����。企業應充分利用網絡大學、企業門戶����、即時通訊等媒介����,充實信息安全內容��,營造信息安全氛圍��,進而強化全員信息安全意識。三是建立應急機制�。完善反應靈敏��、協調有力的信息安全應急協調機制,修訂完善縣公司數據網現場應急處置預案����,加強演練��。嚴格執行特殊時期領導帶班和骨干技術人員值班制度��,進一步暢通安全事件通報渠道�,規范信息安全事件通報程序����,做好應急搶修人員���、物資和車輛準備工作��,及時響應和處理縣公司信息安全事件。重點落實應對光纜中斷����、電源失去���、設備故障應急保障措施��,確保應急處置及時有效。杜絕應急預案編制后束之高閣和敷衍應付的行為�����。
2技術防護是基礎
技術防護要從基礎管理���、邊界防護����、安全加固等方面入手[2]。(1)基礎管理方面����。一是技術資料由專人負責組織歸類����、整理���,設備或接線如有變化��,其圖紙、模擬圖板、設備臺帳和技術檔案等均應及時進行修正���。二是將設備或主要部件進行固定,并設置明顯的不易除去的標識,屏(柜)前后屏眉有信息專業統一規范的名稱。三是設備自安裝運行之日起建立單獨的設備檔案�,有月度及年度檢修計劃并按計劃進行檢修�����,檢修記錄完整。所有設備的調試、修復����、移動及任一信息線或網絡線的拔插和所有設備的開關動作�,都按有關程序嚴格執行�,并在相應的設備檔案中做好記錄。四是加強運行值班監視和即時報告�,確保系統缺陷和異常及時發現�,及時消除���。(2)安全隔離方面�。安全隔離與信息交換系統(網閘)由內、外網處理單元和安全數據交換單元組成�。安全數據交換單元在內外網主機間按照指定的周期進行安全數據的擺渡���,從而在保證內外網隔離的情況下���,實現可靠�����、高效的安全數據交換�,而所有這些復雜的操作均由隔離系統自動完成,用戶只需依據自身業務特點定制合適的安全策略�,既可以實現內外網絡進行安全數據通信��,在保障用戶信息系統安全性的同時,最大限度保證客戶應用的方便性����。(3)邊界防護方面�。一是部署防火墻��,做好網絡隔離�����。在路由器與核心交換機之間配置防火墻�,并設置詳細的安全防護策略�。防火墻總體策略應是白名單防護策略(即整體禁止,根據需要開放白名單中地址)�。將內部區域(下聯口)權限設置為禁止���、外部區域(上聯口)權限設置為允許��。定義防火墻管理地址范圍,針對PING、Webui、Gui三種服務進行設置:只允許特定管理員地址遠程管理�。二是嚴格執行防火墻策略調整審批程序�,需要進行策略調整的相關單位,必須填寫申請單,且必須符合相關安全要求��,經審批后進行策略調整�。三是嚴禁無線設備接入。(4)安全加固方面。一是應以最小權限原則為每個帳號分配其必須的角色、系統權限、對象權限和語句權限����,刪除系統多余用戶�,避免使用弱口令��。二是安裝系統安全補丁,對掃描或手工檢查發現的系統漏洞進行修補�����。三是關閉網絡設備中不安全的服務��,確保網絡設備只開啟承載業務所必需的網絡服務����。四是配置網絡設備的安全審計功能和訪問控制策略�。五是開展風險評估工作中,認真分析網絡與信息系統安全潛在威脅���、薄弱環節,綜合運用評估工具���,在常規評估內容基礎上,加強滲透性驗證測試和密碼脆弱性測試����,重視對系統結構與配置的安全評估�����。根據評估結果,及時提出并落實整改方案���,實施安全加固措施。
3監督檢查是保障
全面落實“按制度辦事����,讓標準說話”的信息安全管理準則��,在企業指導下,由縣公司信通專業牽頭��,業務部門主導����,分工協作建立督查機制�,加強過程安全管控與全方位安全監測,推進安全督查隊伍一體化管理,完善督查流程和標準,開展好安全督查工作,以監督促進安全提升���。一是全面提升責任部門安全人員專業技術水平,加強督查隊伍建設。二是完善督查機制�����,對督查中發現的問題督促落實整改���,并開展分析總結��,通報相關情況���。三是開展常態督查����,通過軟件掃描、終端監測等手段���,確保監測全方位。四是加強考核��,開展指標評價���。保障督查管理水平和工作質量�����。
險管控是對策
為確保公司信息化網絡安全���,公司要將被動的事件驅動型管理模式轉變為主動的風險管控模式,主動地對威脅和風險進行評估,主動地采取風險處置措施���。通過資源的調控實現對信息安全工作的調控。公司應在信息安全治理過程中大量借鑒管理學方法,進行動態的控制和治理,通過治理的流程控制措施進行資源的調配��,實現對關鍵項目����、關鍵技術、關鍵措施的扶持���,對非關鍵活動的控制,確保公司信息化網絡安全���。數據通信網升級改造為企業信息化發展擴展了領域,同時,對信息安全工作提出了新的課題和更高的要求。本文通過分析企業信息化安全管理過程中的一些薄弱環節,提出了安全防護經驗的措施����,從管理機制����、技術防護�、監督檢查、風險管控等方面入手,提高了縣公司全體人員信息化安全意識���,極大地保障了企業系統(含縣公司)信息網絡系統的安全、穩定運行,完善了縣公司信息安全策略及總體防護體系�����,密織信息安全防護網���,保障數據網不失密����、不泄密�����,不發生信息安全事件����。公司下一步將加強信息化常態安全巡檢�,加強信息化相關資料的管理,加強單位干部員工的信息化安全培訓力度�����,進一步完善信息安全策略及總體防護體系�����。提高全體人員信息化安全意識�,保障信息化網絡安全���。企業信息安全建設是一項復雜的綜合系統工程�,涵蓋了公司員工、技術���、管理等多方面因素�����。企業要實現信息安全,必須加強安全意識培訓�,制定明確的規章制度��,綜合各項信息安全技術,建立完善的信息安全管理體系���,并將信息安全管理始終貫徹落實于企業各項活動的方方面面�,做到管理和技術并重,形成一套完善的信息安全防護體系��。
參考文獻:
[1]馬貴峰,馬巨革.構建網絡信息安全防護體系的思路及方法——淺談網絡信息安全的重要發展方向[J].信息系統工程,2010(6).
第10篇
信息安全管理系統作為信息安全的支撐體系以及實施信息安全維護的落腳點��,是信息安全管理中的重要組成部分�����。目前我國的信息安全管理系統還尚未完善,其不足之處首先表現為缺少統一的存儲平臺來對眾多的文檔進行儲存�����,從而導致大量文檔的丟失���;其次�,如果信息安全管理系統不完善,就不能降低資產等的風險評估以及對資產進行集中式的管理����;最后��,由于信息安全系統中各個報表功能的不完善,文檔信息就無法快速�、準確地透露出信息安全的實際狀況���,從而起到有效地保護作用�����。信息安全管理系統主要能夠通過對關鍵資產實行定性和定量分析,從而得出資產的精確風險值��,識別系統中存在的重要因患資產����,并進一步通知信息管理員采取適當地方法來減少隱患事件的發生�,通過科學的管理降低企業的資產風險。由此可見,完善的信息安全管理系統是不可或缺的,它一方面決定著信息安全管理體系的具體實施�����,另一方面也可以促進企業信息安全管理體系的進一步維護與建設����。
2信息安全管理系統標準
科學統一的國家信息安全標準,有利于協調與融合各個信息安全管理系統的工作,充分促進信息安全標準系統的功能發揮��。我國的信息安全管理標準主要分為ISO/IEC27000系列標準與信息安全等級保護標準兩個部分����。
2.1ISO/IEC27000系列標準
1995年,英國標準協會(BSI)了BS7799-1和BS7799-2兩部標準,隨著時代的進步其逐漸發展為ISO/IEC27001和ISO/IEC27002兩個部分�����,并進一步成為目前信息安全管理體系的主要核心標準�。BS7799的最初提出目的主要在于建立起一套能夠用于開發、實施以及測量的科學信息安全管理慣例,并作為一種通用框架來促進貿易伙伴之間的信任。ISO/IEC27001重視ISMS的建構以及在PDCA基礎之上的進一步循環與完善�����,這一過程實質上就是在宏觀的角度上來指導整個項目的有效實施�����。它意在風險管理的基礎之上�,用風險分析的途徑���,把發生信息風險的概率降到最低程度,同時采取適當地措施來保障主體業務的順利進行。ISO/IEC27002主要闡述了133項控制細則���,以及11項需要有效控制的項目�,其中包括安全策略、安全組織、信息安全事件管理��、人力資源安全����、符合性物理與環境安全、訪問控制、資產管理、系統的開發與維護���、業務連續性管理、通信與操作安全等一系列的安全風險評估與控制。
2.2信息安全等級保護
1994年國務院出臺了《中華人民共和國計算機信息系統安全保護條例》�,該項基本制度的主要目的在于提高信息安全保障能力的水平��、保障并促進信息化的健康與發展,從而進一步維護國家安全、社會發展以及人民群眾的利益����。它的核心標準《GB17859-1999計算機信息系統安全保護等級劃分準則》是在TCSEC的分級保護思想基礎之上���,針對我國信息安全的發展實際進行改善�����,最終把安全等級縮減成更具可操作性的5個級別?��!禛B/T22239-2008信息系統安全等級保護基本要求》則把信息安全控制要求進一步整理為管理要求與技術要求兩類,其中前者主要包括系統建設管理�、安全管理制度�����、系統運維管理、安全管理機構和人員安全管理��;后者主要包括應用安全����、網絡安全�����、物理安全��、主機安全以及數據安全與備份恢復。此外����,信息安全等級保護的系列標準里還包括《GB/T20270-2006網絡基礎安全技術要求》以及《GB/T20271-2006信息系統安全通用要求》等一些關于信息安全維護細則的具體操作要求�。
3信息安全管理系統的模型設計
根據信息安全管理系統標準�,結合以往的信息安全管理系統設計,提出一種新型的四層信息安全管理系統:第一層為信息采集:主要包括人工脆弱性檢查�����、漏洞掃描工具以及日志采集系統三部分���。這一信息采集層的主要功能在于采集安全保護對象的漏洞與安全事件���。第二層是數據庫層:包括日志��、資產庫�、異常日志以及資產弱點庫和資產風險庫等�����。該數據庫層的主要功能在于對信息安全管理系統中的數據進行存儲���。第三層為功能模塊層:包括資產管理�����、風險管理、弱點管理�����、信息安全管理規范下載管理資產等級評估管理�、拓補管理以及日志分析。最后一層為展示層:它包含某個具體業務系統中的業務系統整體安全狀況��、資產安全狀況���、業務系統拓補以及異常安全事件等相關部分�����。上述新型信息安全管理系統模型主要體現出以下六點創新之處:
(1)業務系統的動態建模和系統支持資產��,可以把業務系統和資產二者綁定在一起,由此����,整個信息安全系統一方面可以準確地體現出在一個具體業務系統環境下�����,其單獨資產的具體安全狀況;另一方面該信息安全系統還能夠根據IS027001的具體標準,反應出整個資產所承載的整體業務系統的安全狀況�����。
(2)所設計的風險模塊管理可以把風險評估常態化�、主動化,使其對整個業務周期內的所有資產風險進行動態的跟蹤與準確分析�����;另外���,該信息安全系統的日志審計功能也可以實現被動式的安全管理��,從而使主動管理與被動管理在信息安全管理系統中充分融合。
(3)該新安全管理系統增加并促進了拓補管理功能的發揮。
第11篇
信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制;應用平臺則需要有針對各個用戶的認證以及訪問控制�,這就需要保證每一個數據的傳輸的完整性和保密性���,當然也需要保證應用系統的可靠性和可用性�����。一般電力企業主要采用的措施有:
1.1信息安全等級保護
信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,工作包括定級、備案���、安全建設和整改���、信息安全等級測評���、信息安全檢查五個階段�����。要積極參與信息安全等級定級評定,及時在當地公安機關進行備案,然后根據對應等級要求��,組織好評測����,然后開展針對性的防護,從而提供全面的保障。
1.2網絡分區和隔離
運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域���,通過在不同區域實施特定的安全策略實現對區域的防護�,保證網絡及基礎設置穩定正常,保障業務信息安全���。
1.3終端安全防護
需要部署(實施)防病毒系統、上網行為管理�����、主機補丁管理等終端安全防護措施���。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒�����;可以對互聯網訪問行為監管����,為網絡的安全防護管理提供安全保障;可以自動下發操作系統補丁,提高終端的安全性��。
2.構建信息安全防護體系
電力企業應充分利用已經成熟的信息安全理論成果����,在此基礎上在設計出具有可操作性���,能兼顧整體性�����,并且能融合策略、組織�、技術以及運行為一體化的信息安全保障體系�,從而保障信息安全。
2.1建立科學合理的信息安全策略體系
信息安全策略體系包括信息安全策略�、信息安全操作流程���、信息安全標準以及規范和多方面的細則���,所涉及的基本要素包括信息管理和信息技術這兩方面��,其覆蓋了信息系統的網絡層面、物理層面���、系統層面以及應用層面這四大層面。
2.2建設先進可靠的信息安全技術防護體系
結合電力企業的特點�,在企業內部形成分區���、分域���、分級��、分層的網絡環境,然后充分運用防火墻�����、病毒過濾�、入侵防護����、單向物理隔離�����、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃,解決系統之間����、系統內部網段間邊界不清晰���,訪問控制措施薄弱的問題����,對不同等級保護的業務系統分級防護��,避免安全要求低的業務系統的威脅影響到安全要求高的業務系統���,實現全方位的技術安全防護����。同時,還要結合信息機房物流防護�、網絡準入控制�、補丁管理�、PKI基礎設施、病毒防護�、數據庫安全防護��、終端安全管理和電子文檔安全防護等細化的措施,形成覆蓋企業全領域的技術防護體系�����。
2.3設置責權統一的信息安全組織體系
在企業內部設置網絡與信息安全領導機構和工作機構�,按照“誰主管誰負責,誰運營誰負責”原則��,實行統一領導��、分級管理����。信息安全領導機構由決策層組成����,工作機構由各部門管理成員組成��。工作機構一般設置在信息管理部門�����,包含安全管理員、系統管理員、網絡管理員和應用管理員���,并分配相關安全責任,使信息安全在組織內得以有效管理。
2.4構建全面完善的信息安全管理體系
對于電力企業的信息安全防范來說���,單純的使用技術手段是遠遠不夠的,只有配合管理才能提供有效運營的保障。
2.4.1用制度保證信息安全
企業要建立從指導性到具體性的安全管理框架體系����。安全方針是信息安全指導性文件��,指明信息安全的發展方向,為信息安全提供管理指導和支持;安全管理辦法是對信息安全各方面內容進行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎上描述各控制流程�;安全規范和操作手冊則是為用戶提供詳細使用文檔�。人是信息安全最活躍的因素�,人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制�����、加大關鍵崗位員工安全防范力度���、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理�,明確員工信息安全責任和義務,避免人為風險��。
2.4.3建設時就考慮信息安全
在網絡和應用系統建設時�����,就從生命周期的各階段統籌考慮信息安全,遵照信息安全和信息化建設“三同步”原則�,即“同步規劃�����、同步建設、同步投入運行”����。
2.4.4實施信息安全運行保障
主要是以資產管理為基礎�,風險管理為核心�����,事件管理為主線���,輔以有效的管理���、監視與響應功能�,構建動態的可信安全運行保障。同時����,還需要不斷完善應急預案���,做好預案演練���,可以對信息安全事件進行及時的應急響應和處置�����。
3.總結
第12篇
【關鍵詞】信息化�����;安全問題��;電力企業
目前,信息技術日益廣泛的應用使得“信息化”已成為各行各業的流行詞�����。在電力企業的信息安全保障工作中仍然存在管理制度不夠健全���、管理目的不夠明確�����,管理責任不能落實�����、管理效果缺乏監督等問題。因此�,信息化建設的工作勢必應從簡單應用向管理和分析轉變���,在這個轉變過程中一定會存在一些問題�����。
1 電力企業信息化建設安全常見問題及原因
1.1 電力企業信息化建設常見問題
根據相關調查結果和數據資料顯示,當前電力企業信息化建設安全的比較突出的問題有五個方面:首先,計算機病毒的泛濫�����,木馬程序的不斷變種和形式的不斷變化���;第二�����,缺乏重要系統備份恢復應用經驗;第三,黑客有目的的洪流攻擊�;第四�,缺乏必要信息安全防范管理和技術保障手段�����;第五��,流氓軟件和惡意插件對用戶數據信息的收集和更改。這一系列信息化建設安全問題在電力企業中更為突出,如何強化信息網絡安全�����,建立健全的網絡安全保障體系已經成為我國信息化建設的當務之急�����。
1.2 造成電力企業信息化建設安全問題的原因
1.2.1 重應用�,輕管理的思想意識根深蒂固
電力企業信息化建設開展和實施以來,許多工作人員并沒有在思想上轉變傳統的工作模式,依然只是將信息化建設和管理作為一項應用型工具����,以為就是簡單的計算機應用工作�,缺乏必備的網絡和信息數據安全管理知識�。即便有些人了解到信息化建設安全的重要性,但是對于如何防范的措施卻一知半解��。還有大部分人存在僥幸心理���,認為一切從簡�,密碼簡單����、不開啟防火墻、不備份數據文件、對于共享和可見性以及遠程操作等關鍵環節更是隨心所欲��,造成電力企業信息化建設安全危機重重�。
1.2.2 專業技術人員儲備不足
信息化建設安全的管理工作是一項專業性較強,技術要求較高的工作,目前規模較大或者一些大城市的電力企業的專業信息化安全技術人員的配置相對比較完善�。但是��,一些中小城市或者縣級電力企業的電力企業專業信息化建設技術人員的儲備卻不盡如人意,甚至一些縣級電力企業沒有信息化建設專業技術人員。另外,中小城市電力企業的專業技術人員的配備往往是一人多崗���,對于網絡安全管理知識具有管理職責,卻無法實現專職�����,做不到全天候的信息安全監控���,不能及時發現和應對非法入侵帶來的安全事故�;加上這些基層技術人員參與外出培訓的機會相對較少,無法及時補充新的信息安全管理知識��,對于信息系統出現的安全問題技術人員有時候也只能是只能做到表面問題的處理�,無法根除實際的安全隱患。
1.2.3 缺乏有效的病毒防治管理
網絡病毒是信息化建設安全的最大威脅之一��,對于電力企業信息化建設安全來講�,重點就在于對網絡病毒的防治和管理。網絡病毒的防治和管理是一項長期且艱巨的任務���,目前沒有任何系統可以對所有病毒都具有防護的功能。而電力企業的基層單位對于病毒的防治大多數也只是安裝單一的網絡殺毒軟件,再無其他的病毒防治預案。管理工作也通常比較簡單和疏松�����,當殺毒軟件無法識別或者根除一些病毒或者木馬時�,相應的技術人員也只是自己通過其他途徑尋找解決方案���,一旦實在無法解決就要面臨重裝系統�,丟失所有當前數據文件信息的風險;更為嚴重的甚至會造成業務系統的崩潰�����,導致正常的工作難以進行����。
1.2.4 移動存儲介質的無控制使用
當前網絡木馬和病毒的主要傳播途徑已經由傳統的網絡文件或者應用偽裝轉變為移動介質存儲的入侵和感染。尤其是近年來�����,移動存儲介質的靈巧和易用的特點在電力企業系統的各個部門工作中得到了廣泛的運用�����。而大部分的木馬和病毒也就借助于移動介質對計算機內部的數據和信息進行感染和利用�����。導致一些先進的“內外網隔離”和“雙機雙網”病毒防控技術完全失去其實際安全意義。
2 電力企業信息化建設安全常見問題的對策研究
2.1 建立健全信息化建設安全管理和考核機制
電力企業信息化建設安全管理是一項動態的�����、靈活的工作��,不僅僅是引進了新的技術或者新的安全體系就能馬上見效的����,還要靠平時的管理和監測���。技術所能起到的作用就是預防更多的已知的安全隱患�;而管理則是靈活的,實施的主體以人為主���,可以通過建立各種安全管理制度,用技術來對人進行約束和管理����,真正發揮人的靈活性和主動性��,在安全威脅來臨之前就發揮防控作用,不給安全威脅發生的機會�����。同時���,還要針對電力企業信息建設安全的特點建立一套涵蓋引進標準����、風險性評估和技術應用規范的安全管理體系。落實安全崗位職責�,推行責任制�,嚴格按著相關法律法規的標準結合企業實際的安全等級要求進行信息安全管理系統的建設和管理���。將安全管理融入到信息系統的各個環節當中�����,實現每個環節的自管��、自查和自評���,再通過不定期的崗位臨檢���,來考核信息化建設安全的各個環節是否達到規定的標準��,提高信息化建設安全的重視程度�,強化信息化建設安全意識�����。
2.2 做好電力企業信息化建設安全的教育培訓工作
電力企業信息化建設安全工作還是一項長期的工作���,隨著信息化建設的不斷創新�,一些新的安全隱患和威脅就會隨之產生���,如何保持電力企業信息化建設安全工作的與時俱進�����,就要從加強信息化建設安全教育培訓方面做起���,也是安全管理中最為重要的內容��。這項工作的落實,直接關系到信息化建設中安全策略的被應用和理解程度以及執行后的實際效果。在實際的教育培訓中���,不單單要相關的信息安全工作主要責任人的參與,還應該盡量做到所有人員的參與和學習。既包括電力安全的管理人員和技術人員,還要包括前臺的營業人員�,因為信息化建設安全的工作是一項綜合性的工作�,并非是一個人或者一個部門的事情��,是關系到整個企業中每一個人的工作���。并且,這種教育培訓工作要做到持續有效�����,借鑒和引進領先的信息安全管理體系和管理技術,全面提高電力企業人員的整體信息安全意識和技能���。
2.3 加強移動存儲介質的控制和管理
鑒于移動存儲介質的廣泛應用和其實際應用中的便攜性、靈活性��,電力企業信息化建設安全部門應該根據行業的實際情況制定一些有效的移動存儲介質使用標準和規范���,并進行全員的教育和培訓�����。其內容可以從移動存儲設備的插拔使用�、讀寫開關應用����、加密設置和定期殺毒要領等基礎知識展開。使企業內部的人員熟練掌握移動存儲介質的基礎知識和安全使用方法,逐步提高安全防范意識�����,養成良好的移動存儲介質使用習慣�����。移動存儲介質使用的具體安全管理工作可以從以下幾個方面做起:一是妥善保管防止遺失�����;二是專職專用���,嚴禁外借�;三是定期殺毒;四是采取“雙備份”原則�����;五是杜絕任何形式的非法外聯操作�。
3 結束語
綜上所述,電力企業信息化建設安全保障工作是一項以管理和技術為主要內容的工作��。電力企業信息系統的安全管理工作是一項綜合性很強的課題���,不僅僅涉及應用���、技術和管理�����,還包括信息系統自身的安全性能以及物理和邏輯方面的計算措施�,技術層次上來講一種技術也只能解決一方面的問題�����。因此��,電力企業信息化安全建設是一項長期的、靈活的����,需要電力企業全體人員共同參與的工作�����,還需要我們不斷的努力學習和創新���。
參考文獻:
