企业信息安全治理范文

时间:2023-10-09 17:29:52

导语:如何才能写好一篇企业信息安全治理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全治理

篇1

关键词:供电企业信息安全;排查;治理

1引言

随着科学技术的不断发展,网络信息技术更是在各大企业得以应用。可以说信息技术是一把双刃剑,在给企业带来巨大利益的同时也带来了很大的风险。而供电企业是国家的重要基础设施的行业,它的安全更是关乎着整个国家的电力发展甚至说电力企业发生任何意外都会影响到我们整个国家的经济、国际地位等各方面的发展。因此说,供电企业的信息安全不容小觑。供电企业的信息安全隐患主要分为内因和外因。供电企业在抵挡外来的信息侵略时会设置各种软、硬件措施,这的确对于抵挡外来侵略起到了一定的作用。但是对于内部来说这就毫无意义了。内部信息安全得不到保障比外来侵略更加可怕。所以在处理供电企业的信息安全问题上一定要谨慎认真。

2信息安全隐患

2.1信息安全的定义

信息安全总的来说是指信息在传播过程中能够不受外界的干扰,保证信息的安全、真实、可靠、保密以及完整性。并且能够完好无损的传输到目的地。

2.2隐患的定义

隐患分为潜在隐患、动态隐患、静态隐患等各种,主要是指事故发生的原因。

2.3隐患的影响

有的隐患并不会造成很大的影响,这种隐患危险性相对较低;有的隐患虽然不会导致很大的危险发生,但是仍然会对企业造成一定的不良影响:还有的隐患就相对危险了,会对企业造成相当程度的损害,如果是信息安全得到破坏,企业的各种有效信息很有可能得到泄露;最为严重的一种就是会对企业造成不可挽回的严重破坏,甚至会使得整个企业系统瘫痪。

2.4信息安全隐患的形成

(1)通过对“物”的管理不善造成的各种影响:信息的传播需要通信电路,而通信电路出现问题如果没有及时发现并治理就会造成通信不便。在信息系统中不管是软硬件的老化或者失效也会造成信息传播不便。(2)通过对“人”的管理不善造成的各种影响:人是最难把握的一类高级生物,既然是人为操作就不可能一直不犯错误。而网络这个大系统又是由多方面的人员共同完成。在信息传输过程中,有些操作人员可能并没有很清楚自身的操作能力,那么在操作过程中就会出现各种各样的问题。

3关于信息安全隐患的排查

3.1排查的目的

隐患如果没有及时消除就会造成很严重的后果,如果是轻度隐患造成的影响还相对小一些,但是如果是重度隐患就会造成无法挽回的后果。所以说,排查隐患的存在是非常有必要的。排查隐患的目的主要是在于能够及早发现各种严重隐患,在关键部位重点关注,不让检查工作浮于表面,认真负责信息安全的检查。排查隐患的工作做好有利于企业提高自身网络系统的安全性和可靠性。供电企业的信息安全排查的第一步做好了才有机会更好地完成后边的步骤,有利于供电企业持续正常的为国家社会和人民服务。

3.2排查的范围

排查分为终端、系统排查,设备、网络排查,人员、管理排查。排查过程中更是要认真仔细,决不能放过任何可疑的细节,要做到全面、细致。

4关于隐患的治理

4.1排查方法

信息安全不是儿戏,需要专业的知识来对安全隐患进行排查。主要分为以下两个方法:督查信息安全、排查信息隐患。我们重点来说一下督查信息安全。督查信息安全,顾名思义,就是对信息进行监督和检查。主要分为日常监督、专项监督、年度监督。

4.2排查流程

根据国家的法律法规,在对信息安全隐患进行排查时,也要遵循一定的法规流程。信息安全的排查工作也是要由专业部门统一组织领导进行。由专门的信息监督人员、检查人员进行排查。由专门的技术人员对排查结果进行分析总结并且分类整理所得到的信息。

4.3隐患的治理

(1)国家相关法律部门制定相应的法律法规,对信息安全提出明确的保护方案和违反这一法规所会受到的处罚。并对破坏供电企业信息安全的行为高度重视,重点处置。(2)在隐患发生前有专业技术人员对各个方面进行完美的检查,并且制定出各种意外方案以备不时之需。(3)对于在信息传播过程中由于设备问题所出现的问题要由专业的技术人员加以修正,而且在此之前,信息技术监督小组成员应当提前预料到各种情况,这样才能对在各种情况发生时临危不乱。(4)定期检查。不管是什么季节、什么时间都应该有相关的技术人员对供电企业的各种信息、通信系统是否正常运行进行检查维修。如有必要,还应该开展各种演练活动,提高值班人员的素质和应变能力。(5)加强培训。要对供电企业内部人员进行安全教育和技术培训,不仅提高理论水平还有实践能力,加强安全意识。

5结束语

信息安全是现当代各个企业必须面临的重要问题,而供电企业作为国家的重点基础设施企业更是要加以高度重视。信息安全不仅仅是信息部门的事情更是企业所有人的问题。供电企业要做到全员参与,制定更加合理的制度,不断提高信息安全水平。

参考文献

篇2

 

伴随着企业对办公应用自动化、移动化、智能化需求的不断增加,智能移动终端在企业中的应用呈现快速增长态势,越来越多的企业商业秘密在智能终端上进行传输和处理。在给企业用户带来巨大便利和经济、管理效益的同时,随之而来的安全风险和安全管理问题也日益凸现。

 

1 主流移动终端操作系统平台

 

目前常见主流的智能移动终端操作系统平台有Android、iPhone、Windows Phone三种。与传统PC操作系统相比较,由于各厂商源代码的开放程度不同,不同智能移动终端操作系统的自我安全防护措施差异很大,造成不同厂商的智能终端面临的安全风险截然不同。即使是同一种操作系统,不同ROM芯片安全加固程度的差异,都对移动终端的信息安全造成不同程度和方面的威胁。

 

1.1 Windows Phone平台

 

Windows Phone没有继承前辈Windows Mobile的开放性,而是借鉴了iPhone的封闭性。应用程序商店Marketplace被限定为Windows Phone移动终端安装应用程序的唯一方式和途径,不支持通过其他方式来安装程序包。这将在一定程度上杜绝了盗版软件的风险,保护了开发者的权益。

 

Windows Phone的应用程序模型目前主要支持第三方应用在前台执行,不完全支持后台应用,这样能够在一定程度上降低系统安全风险,但存在第三方应用如何拦截垃圾短信的问题。

 

1.2 iPhone平台

 

iPhone是一个完全封闭的平台,在一定程度上保证了平台的安全性。如,iPhone缺省没有读取通话记录、短信等的API,这保护了用户的隐私;调用显示用户位置信息的API也会弹出提示信息。另外,iPhone也不允许使用API直接发短信和打电话,都需要用户确认,这样间接减少了恶意订购和恶意话费的风险。但是面临越狱用户所带来的系统更改问题,这使得本来封闭平台的安全优势丧失了。越来越多的开发者制作针对越狱用户的应用程序,并以共享形式,越狱用户的信息安全即使在将来也很难得到有效保障。

 

1.3 Android平台

 

Windows Phone 7和iPhone平台不提供程序直接发短信等功能的接口,避免了恶意订购等行为的发生。相比之下,Android则把决定权交给了用户,由用户决定一个程序是否可以直接发短信。Android要求开发者在使用API时进行申明,称为permission。这样对一些敏感API的使用在安装时就可以给用户风险提示,由用户确定是否安装。

 

例如,要监控是否有短信到达,需要在Android Manifest文件中进行如下设置:

 

xmlns:android=http://schemas.android.com/apk/res/android

 

package="com.google.android.app.myapp">

 

在下载和安装软件时,普通用户缺乏专业知识,使得这个决定设置形同虚设。而且,仅靠这些permission信息确定软件是否是恶意的,也没有太多依据。更严重的问题是,Android安全软件所需要的权限与恶意软件类似,使得用户难以分辨。[1-2]

 

2 移动终端面临的安全隐患

 

随着信息技术的不断进步,制造和使用成本的不断下降,近年来,智能移动终端市场得到了飞速发展和推广。加之移动终端智能化的发展,使得其功能越来越多样化,能够存储的信息量和种类都大大增多,越来越多地被应用到涉及国计民生的各个领域之中。小到个人资料和隐私、中到企业商业秘密、大到涉及国家政府政策信息等数据资料都涵盖其中。随着WIFI、3G网络等功能的引入,以及专门针对智能移动平台的病毒、恶意程序的出现,加大了存储在其中的资料被窃取、破坏、篡改的可能性,智能终端移动平台的信息安全越来越重要,对其进行信息安全管理迫在眉睫。

 

通过对当前常见移动终端恶意软件的调查与分析,通常有以下几种特点:(1)联网、发短信,实施恶意订购:例如下载软件、产生额外流量、盗打电话(如悄悄拨打声讯电话)、恶意订购SP业务,群发彩信等等。这是目前最主要、高发率的一种恶意行为,同时也是其它恶意行为的基础。可以直接为恶意软件的制作者带来巨额的非法收益;(2)获取本地信息:如获取存储在终端之中的通讯录、通话记录、短信内容、本地文件、地理位置等信息。通过获取和利用、贩卖终端用户信息以间接的获得利益,动机类似于在个人计算机盗取信息的行为;(3)窃取账户:通过盗号软件,对网络虚拟社区或网络游戏等软件的用户资料,通过盗取信息获得收益;(4)消耗资源类:如不断地寻找蓝牙设备去传播恶意软件。这也是恶意软件的一种传播方式;(5)破坏应用:删除本地文件、通讯录、恢复出厂设置。如破坏SD卡上安装的应用程序,导致应用无法启动;(6)卸载安全软件、自启动、难删除、隐藏:随着移动平台恶意软件的增多,移动平台上的安全软件也应运而生,恶意软件制作者为了更稳定的传播恶意程序,往往在代码中加入了自我保护的功能,使得恶意软件难以有效删除,或自动卸载主流安全软件以保护自身程序。

 

综上所述,在API方面开放程度越高的智能移动终端平台,其受到外部安全攻击的可能性就越大,面临的安全风险越高;而采用非开源系统的移动终端平台使得中低端用户趋向于寻求各种破解的方式来获取免费应用,这实际上也加大了安全保护的难度。

 

另外,智能终端安全防护软件必须取得操作系统内核的较高权限,才能对应用实施访问控制,但是权限往往得不到满足。对于封闭式操作系统,第三方安全防护软件根本无法获取内核较高权限,也就没有办法实现对应用的访问控制。即使是开源式操作系统,由于操作系统内核权限获取困难,往往需要将第三方安全防护软件集成到操作系统内部。操作系统内核权限获取问题限制了第三方应用软件的防护能力。

 

3 企业智能移动终端安全管理

 

随着个人移动终端的普及及其在企业日常生产经营工作领域中的广泛应用,作为信息系统重要组成部分的移动终端的安全性对企业信息系统总体安全性的影响逐渐不容忽视。有鉴于此,将移动终端安全纳入到企业信息安全管理体系之中,是很有必要的。

 

针对企业智能移动终端的信息安全管理工作可以从以下几个层面逐步展开:

 

3.1 网络安全

 

随着无线网络(IEEE802.11系列标准及其应用,如WIFI)概念的引入和无线设备的普及,智能移动终端已经逐渐成为企业无线网络的主要使用者。由于无线网络本身的技术特点,以及用户使用无线网络时安全意识的淡薄,通过无线网络渗透并威胁企业用户信息安全的案例正在逐年增多。另外,智能移动终端与个人计算机之间的数据传输也是未来可能被恶意攻击者利用的一个隐患点。考虑到信息系统的实际情况和信息安全保护的相关标准,企业可以考虑对网络设备实施如下安全措施。

 

例如:禁止大规模布设具有无线接入功能的路由器或其他网络设备,已布设的无线接入设备必须采取可靠技术手段,实现与信息系统重要服务器和网络设备隔离,不允许使用WIFI热点网络接入涉及敏感信息的企业网络和接入互联网,防止由互联网反向渗透至智能终端。[3][4]

 

3.2 主机安全

 

智能终端操作系统开放程度的不统一使得移动终端领域难以有一个统一的安全防范技术标准。在企业信息安全管理中,涉及某些敏感领域时,信息系统相关人员所持有的智能移动终端是一个可能的隐患点,有必要将移动终端作为主机安全部分纳入到企业信息安全管理体系之中。

 

在定制主机应用开发时,可限制OS的种类,禁止使用不安全的OS或者不安全的定制OEM或必须经过合规性检查,限制安装某些软件等;企业智能终端中存储有大量涉及公司用户隐私及利益的重要数据信息,为了提高主机安全性,可以考虑密码保护、授权访问、加密、备份等安全措施的应用。另外,企业还要考虑对内部使用的各型智能移动终端统一安装防护软件并定期进行更新。[5]

 

3.3 管理安全

 

由于目前智能化移动终端(如智能手机、平板电脑)越来越多的应用在工作中,或被企业各级员工带入企业工作场所,有必要对智能化移动终端的使用范围、功能及方法进行规范。在企业信息安全管理体系中考虑添加相关移动终端管理安全要求:(1)对移动设备(包括但不限于:便携式计算机、智能手机、平板电脑)的使用范围、操作及允许使用的功能进行规范;(2)进行移动终端专题安全培训,培训内容包括但不限于以下内容:移动终端安全性、移动终端使用范围、禁止使用的移动终端功能等;(3)对企业移动终端设备进行统一登记管理;(4)禁止在企业重要工作场所(会议室、科研机构)打开智能移动终端的拍照、录音等功能;(5)禁止在某些场合开启蓝牙、红外、WIFI、无线上网和NFC等功能。

 

4 结束语

 

在本文中,首先对常见主流移动终端操作系统进行了介绍,并按操作系统种类分别对其安全现状进行了简要叙述;然后分析了目前移动终端普遍面临的安全风险;最后提出了对企业移动终端进行信息安全管理过程中要注意的几个层面及安全措施。

 

智能移动终端近年来发展较快,并朝向易用性、系统复杂性同步提高的方向发展,这给企业信息安全管理提出了不小的挑战。如何在保证企业移动终端用户使用方便的前提下最大限度的保障企业信息安全成为了当前企业必须认真面对的课题。应尽快参照国家信息安全等级保护制度,对于建立企业智能终端等级保护制度进行前沿探讨,相关安全专业厂商也应尽快制定和开发针对企业移动智能终端操作系统的安全评估方法和产品,并投入市场以解企业燃眉之急。

 

随着信息攻防技术的不断更新,企业智能终端应用还将不断面临新的安全挑战,解决企业智能终端安全问题任重而道远。

篇3

【关键词】信息安全;防火墙;烟草

1.烟草行业信息安全发展背景

随着国内烟草行业的不断发展,烟草信息化建设的步伐也不断加快,建立在网络架构上的跨部门、跨企业、跨地区的行业系统内部信息网络逐步建立健全,信息化各类应用不断深化,而另一方面,行业信息安全形势不容乐观,影响系统稳定运行的因素不断凸显,因此,需要通过管理、技术等层面入手,采用先进可行的技术手段和管理理念,剪建成全面有效的一套信息安全体系,为整个工业公司业务的正常运行提供强有力的支持和保障。

2.构建企业信息安全系统体系架构

2.1企业信息安全系统体系架构的定义

在各种风险日趋复杂化的今天,企业的决策层希望能够获得有效的手段来管理和控制其责任范围内的各种风险。他们需要了解安全风险对信息系统以及相关业务所产生的潜在影响;需要获得应对这些风险的快速有效的措施来保障相关业务的可用性和稳定性。

企业信息安全系统体系架构

企业信息安全系统体系架构从上到下由安全治理、风险管理及合规层,安全运维层和基础安全服务和架构层三个层次构成。安全治理、风险和合规作为企业信息安全系统体系架构顶层的核心内容,是第二层安全运维的服务对象,同时,它们也是企业信息安全策略制定的基础和依据。基础安全服务和架构层是企业信息安全建设技术需求和功能的实现者。是企业信息安全建设的重要支柱。

中间的安全运维层则通过对信息安全基础服务所提供的功能,结合安全运维管理的流程,来实现安全治理、风险管理和合规的要求。

2.2企业信息安全系统体系架构所遵从的安全标准和法规

符合信息安全管理体系(ISO/IEC27001)。

符合信息安全管理实施细则(ISO/IEC27002)。

符合内控框架(如BS17799或COBIT)。

提供符合萨班斯(Sox)法案的支持。

符合GB/T 20274.1-2006信息安全技术信息系统安全保障评估框架。

符合GB/T 20282-2006 信息安全技术信息系统安全工程管理要求。

GB 17859-1999 计算机信息系统安全保护等级划分准则。

GB/T 19715.1-2005信息技术信息技术安全管理指南第1部分:信息技术安全概念和模型。

GB/T 19715.2-2005信息技术信息技术安全管理指南第2部分:管理和规划信息技术安全。

GB/T 20269-2006信息安全技术信息系统安全管理要求。

GB/T 20271-2006信息安全技术信息系统通用安全技术要求。

3.项目实施前准备

3.1机房环境要求

机房环境温湿度的要求如下:

温度:18°C~24°C。

温度变化率:2°C/小时。

相对湿度:40%~60%。

相对湿度变化率:2%/小时。

机房内使用高架地板,必须满足坚硬、防静电等要求。

地板载重量必须大于500kg/m2。

海拔高度:

机房的装修应选择防火材料,并应有防尘措施。

3.2机房所需附加设备

温度/湿度记录仪、除尘器。

吸尘器、除湿器、冷气机。

在有腐蚀性气体的场所中加装空气过滤器。

拖鞋。

灭火器。

紧急停电照明设备。

不间断电源,请参考本设计提供的设备耗电量选择品质优良的产品。

3.3接地系统

配电箱与最终接地端应以单独绝缘导线相连;其线径至少需与输入端电源。

线路径相同,接地电阻应小于4Ω。

地线与零线之间所测的交流电应小于1伏特。

3.4电源系统

电压:220 V(190~240)。

频率:47~63Hz。

其他单一谐波不得高于3%。

3.5不间断电源

UPS系统容量应>=1.3倍设备总耗电量。

勿将机房电源与下列设备共用同一电源或同一电线,以避免受到干扰,例如大型电梯、升降机、窗型冷气机、复印机等。

请在机房使用适当数量的普通维护插座,以提供维修人员使用,且此维护插座不能与电源系统共用电源。

配电箱的位置应尽量靠近机房且便于操作。

3.6空调系统

3.6.1环境温湿度的要求如下:

温度:18°C~24°C。

温度变化率:2°C/小时。

相对湿度:40%~60%(不结霜)。

相对湿度变化率:2%/小时。

3.6.2机房冷却系统容量计算:

总安全量=(设备散热量+环境散热量)*130%(未包括未来扩充设备容量)。

环境散热量,简单的以每平方米600BTU/小时预估(不含操作员)。

所需冷气量=总安全量(BTU/小时÷8500BTU/小时)。

3.7机房防火要求

安装本设备的机房应符合国家二级防火标准的建筑物。

3.8机房安全

机房安全关系到国家财产和保证通信系统正常运行,应有现代化的监控技术对机房进行自动化监视;它可同时监视机房的温度、湿度、烟雾、门窗和可遥控空调机等功能。

4.工程进度表 (下转第428页)

(上接第403页)4.1工程进度表

按照本公司信息安全工程的需求以及结合公司信息安全系统的工程实施情况,从充分保证信息安全工程质量的角度出发考虑,制定出工程进度安排。

4.2项目组织结构

项目经理:项目质量控制组、项目筹备组、技术实施团队、技术支持团队和项目验收组。

4.3项目实施工作方法

4.3.1决策制度,决策包括以下几个原则

(1)项目经理首先决策原则。

对于项目实施过程中的日常工作,一般由项目经理加以决策,然后提交给用户项目领导小组、黑龙江烟草工业有限责任公司信息安全项目项目经理部,一般在2天之内,如果没有任何一方提出异议,则该决定生效,此异议应以书面方式表达。

(2)最高权力机构准则。

领导决策组是项目实施过程中的最高决策机构,对重大问题具有决策权。

(3)决策书面准则。

一切决策均应有书面文件,并且在项目文档管理组备案。

4.3.2交流制度

(1)问题及早提出准则。

(2)及时澄清准则。

(3)提醒道义准则。

还有例会制度以及问题与争议管理方法等具体措施。

5.根据企业实际情况来制定信息安全规划的实施

5.1企业网络边界和主干设备威胁控制(网络安全)的实施

分为:多功能安全网关系统的实施、网络攻击阻断防护系统的实施和准入控制系统的实施。

5.2企业网内部安全监控和服务器区安全防御(主机安全)的实施

5.2.1网页防篡改系统的实施

目前,大部分网站都使用了内容管理系统(CMS)来管理网页产生的全过程,包括网页的编辑、审核、签发和合成等。

5.2.2运维审核系统的实施

运维安全审计系统采用协议方式对各种维护协议进行转发,并在转发的过程中分别模拟了协议的客户端与服务端。

6.实施情况及后续工作计划

其实对于企业来说,一次性完成所有的工作是不现实的,信息安全系统的建立投入较大,对人员素质和技术要求较高,企业员工也无法立刻适应规范的工作流程,信息安全系统的建立是一个长期而漫长的过程,我们应逐步完善自己的信息安全系统,更好完成企业目标。针对这种状况,我们认为较为科学和现实的实现企业信息安全系统应该分步,分级逐步完善,先从基础安全服务和构架入手,逐步完善企业信息安全系统,在完成基础安全服务和构架后实现安全运维系统的建立,通过培训和自我学习,最终配合完成安全治理、风险管理和合规建设任务,争取在两到三年内达成最终目标。

【参考文献】

[1]刘润平,万佩真.企业网络安全问题与对策[J].企业经济,2010,(7):53-55.

篇4

【关键词】信息安全管理;保险企业;体系构建

0.引言

保险企业的计算机信息安全管理给企业自身的发展带来了非常多的好处,不仅能够实现企业办公的自动化和信息化,同时也提高了企业的运营效率。保险企业的信息化主要是保险企业以业务流程的优化和重构为基础,在一定的深度和广度上利用计算机技术、网络技术和数据库技术,控制和集成化管理企业生产经营活动中的各种信息,实现企业内外部信息的共享和有效利用,以提高企业的经济效益和市场竞争力。从目前的保险企业来看,很多企业都已经开发了适合自己企业的计算机信息系统来满足企业的运转,企业通过开发计算机信息系统平台,提高了自身产品、经营、管理、决策的效率和水平,进而提高了企业的经济效益和竞争力。同时,我们也要注意到,保险企业开发计算机信息系统是好事情,但是如果忽略了对计算机信息安全的管理,就将是个大问题。在如今,计算机信息安全性对于保险企业来说比开发系统更为重要,企业一旦出现信息安全问题,后果不堪设想。有最新的数据表明,计算机病毒和黑客攻击已经给国民经济和企业造成了难以估量的损失。所以,保险企业计算机信息安全管理的体系构建迫在眉睫,必须要引起高度重视。

1.保险企业信息安全管理的现状

计算机信息安全问题不是保险企业才存在的问题,是全球企业都存在的普遍问题,越发达的地区,信息安全存在的隐患越多。一方面,现在互联网的发展速度非常快,信息技术的日趋完善,出现了很多的恶意攻击工具,再加上信息系统本身的漏洞,让一些破坏分子更是有机可乘;从另外一个角度来看,企业自身对信息安全管理不重视,也是导致出现信息安全问题的首要原因之一。近年来,保险行业处于高速发展的时期,暴露出的问题也相对比较多,我们应该重视起来。下面列出了当前的保险企业在信息安全管理上存在的主要几点问题:

1.1没有相关的法规来约束

与信息的安全有关的分散于各种法律、法规、标准、道德规范和管理办法的条文较多,但尚未形成一个较为规范完整的保障信息安全的法律制度、道德规范及管理体系。同时现有的法规,由于相关安全技术和手段还没有成熟和标准化,法规也不能很好地被执行。因此,保险行业的信息安全标准和规范的缺少和无体系化,导致保险企业不能很好的制定合理的安全策略并确保此策略能被有效执行。

1.2没有引起足够的重视

很多保险企业的管理层对信息安全管理不太关注,不够重视,没有投入足够的人力、物力和财力去管理。大部分保险企业在公司治理上重点关注的是企业的业务规模发展,销售策略调整,组织结构和运营流程的优化等,对信息安全管理不太重视,不太相信信息安全问题能给企业会带来严重危机,直到发生了信息安全事件后之后才开始重视。因此,保险企业必须在公司日常治理中投入足够的时间和精力去完善企业的信息安全管理体系。

1.3对存在的风险评估不够

很多保险企业在设计搭建相关信息系统的时候对存在的风险评估不够,没有充分考虑到信息化所带来的安全风险,通常只是考虑到信息技术问题,对于信息系统应用后出现的信息安全问题欠缺考虑。其实对信息系统安全风险不做评估或评估不充分,都会带来严重的后果,一旦信息系统出现严重缺陷或漏洞的时,系统受到破坏,正常的业务操作无法进行,严重的可能会导致企业内部机密、客户个人信息的泄露或者重要数据被盗、被篡改等。所以,保险企业面临解决诸如系统本身缺陷、操作失误等带来的安全问题的。

1.4没有制定相应的安全管理条例,无明确责任划分

保险企业相关的信息技术安全之所以存在一系列的问题,和企业没有制定相应的安全管理制度,没有明确责任划分等有很大的关系。没有相关的信息安全管理制度去制约,出了信息安全问题以后的责任划分不清晰,长此以往,信息安全问题的监管就会出很大的漏洞,也很难形成一个可控的信息安全管理体系。保险企业的信息安全管理应该是整个企业员工共同面对的问题,而不是企业某个部门或者某些个人能够决定的事情。保险企业的信息安全管理应该有相应的制度和明确的责任划分,每个部门都应该有信息安全的负责人,出了问题要做到有人承担,如果不这样的话就会影响到信息安全管理体系的构建,成为企业信息安全管理的绊脚石。

所以,针对以上种种问题和现状,保险企业必须要形成一个良好的信息安全管理体系,这样才能从根本上解决问题,发挥信息化建设的作用,保障企业的计算机信息安全。

2.保险企业计算机信息安全管理的体系构建

2.1掌握安全管理标准,构建安全管理基本框架

要熟悉掌握信息安全管理标准,对信息技术的安全管理标准要进行不断深入的理解,不能仅仅考虑到信息技术,而忽视了信息安全管理。国际上对安全管理研究已经取得了一定的成果,推出了信息安全标准,成立了信息安全标准化组织,搭建了信息安全标准体系框架。在我国,虽然信息安全的研究起步比较晚,但是也在不断的完善中,已经制定了适合我国国情的信息安全管理标准。我国提出的关于《计算机信息安全保护等级划分准则》中就明确了安全管理的标准,主要把信息安全划分成自主保护级、系统审核保护级、安全标记保护级、结构化保护级和访问验证保护级等五个安全程度不同的安全等级,根据这五级标准,也分别提出了关于建立安全管理体系的相关措施。所以,保险企业应该参考这些标准,构建适合自身行业、企业信息的安全管理基本框架,这对于企业的健康稳健发展是非常有意义的。

2.2实现科学的信息安全管理

保险企业要实现科学的信息安全管理,不能不考虑信息安全影响而随意的进行信息管理。保险企业的信息安全管理应该要包括对机构安全管理和人员安全管理以及技术安全管理和场地设施安全管理。保险企业需要采用一些科学的方法,如科学化企业信息资产评估和风险分析模型法、设计完备的信息系统动态安全模型等,建立科学的可实施的计算机系统安全策略,采取规范的安全防范措施,选用可靠稳定的安全产品,设计完善的安全评估标准和等级,实施有效的审核措施等来实现对信息的安全管理。

2.3进行有效的安全风险评估

保险企业在搭建信息化平台的时候,必须要进行安全风险的评估,没有风险的评估是很难实现信息安全管理的。同时,还需要在对信息安全风险的评估中制定出风险的应对方案,便于应对突发问题,从最大程度上保证信息的安全。

2.4合理配置安全产品

对于评估出来的风险,保险企业可以对信息系统配置一些安全产品来规避信息安全风险。比如说系统存在一些漏洞,这些漏洞很容易受病毒的攻击,那么企业可以配置一些能够定期更新的杀毒软件和防火墙来防止病毒的侵入。在配置产品的时候需要注意配置的合理性,不能什么安全产品都去配置,要通过最优化的安全产品配置达到企业信息的安全管理。

【参考文献】

[1]许雅娟.网络攻击分类研究[J].硅谷,2011(06).

[2]宋晓萍.TDCS网络安全防护方案的研究[J].铁道运输与经济,2006(11).

[3]苗亮.计算机网络可靠性的研究[J].机械工程与自动化,2010(03).

篇5

关键词:安全文化;电力信息;信息安全;人员岗位调动;存储介质;计算机互联网

中图分类号:F273 文献标识码:A 文章编号:1009-2374(2013)04-0152-03

伴随信息技术的发展,电力企业的信息化程度越来越高。网络与信息系统有效支撑了公司各项业务的开展,全面提高了电网安全、生产效率和服务质量,其基础性、全局性、全员性作用日益增强。信息安全作为信息化深入推进的重要保障,与电网安全生产密切相关,对公司生产、经营、管理工作有重要意义,对电网安全有着重大影响,面临的形势严峻。

培育全员安全文化,要坚持“安全第一,预防为主,综合治理”的方针,牢固树立安全发展、健康发展的理念。在信息安全管理中要坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”原则,坚决执行各项规章制度,不断提升人员信息安全和保密意识,全面保障电力企业信息安全。

1 影响信息安全的人为因素分析

1.1 员工岗位调动带来的信息安全风险

由于工作需要,经常发生人员岗位调动的情况,尤其是在“三集五大”体系建设过程中,员工岗位调动较多。一方面,岗位的调动必然带来相关信息系统权限的变更,但在实际操作中,往往是信息系统权限的变更远远滞后于岗位变动,给信息系统带来安全风险。另一方面,岗位交接过程如不严格把关,会产生企业生产、管理等信息丢失的风险。

1.2 未严格执行信息安全规章制度

企业员工信息安全意识淡薄、疏于防范,对已知的信息安全风险存在侥幸的心理,一些人员不遵循企业的信息安全规章制度,出现如计算机弱口令、无屏保或屏保时间过长、未关闭不必要的服务等现象,信息安全保密意识淡薄,对违规操作明知故犯。

1.3 员工抵触情绪产生的计算机“裸奔”隐患

企业要求必须安装指定的防病毒软件和桌面管控系统,因此会造成计算机运行速度变慢,使用性能下降,部分员工主观上不愿接受技术防范安全管理,造成部分安全产品客户端软件安装不全,甚至出现没有安装的现象,使得计算机出现“裸奔”现象,成为计算机病毒、木马等各种黑客软件攻击的对象。更为严重的是,这会给整个电力系统内网带来安全威胁。

1.4 内网计算机存在违规外联隐患

部分员工通过USB接口将手机接入内网计算机,给手机充电或将手机上的照片导入计算机,导致违规外联;还有极个别员工企图用内网计算机插入无线网卡或直接接入互联网下载资料、升级软件等,同样导致违规外联。目前还存在对外来人员和新进人员的宣传教育不足,造成这些人员使用内网计算机时构成违规外联的安全隐患。

1.5 安全移动存储介质使用中的安全隐患

部分员工在使用安全移动存储介质时,未按要求进行注册或未修改初始密码,在企业信息内外网间及因特网数据交换的过程中,未将涉及企业秘密的信息放在保密区。同时还存在将安全移动存储介质随意乱放,安全移动存储介质的维修工作由非专业技术人员负责,出现故障报废的存储介质未及时销毁等现象。

1.6 笔记本电脑使用中的安全隐患

部分员工由于工作需要在笔记本电脑上处理、存储工作信息,在用完后未及时删除重要信息,造成信息泄露,或笔记本电脑故障外送维修时,未考虑到是否存有或工作信息,忽略监督维修过程,从而构成了泄密隐患。

1.7 员工的无意失误

人为的无意失误,如操作员安全配置不当造成的安全漏洞,用户安全意识不强、用户口令选择不慎、用户将自己的帐号密码随意转借他人等都会给网络信息安全带来威胁。

2 培育全员安全文化的途径

2.1 加强机构变动及人员岗位调动后信息安全管理

严格做好机构变动、人员岗位调动后的信息安全管理工作,确保信息网络设备安全运行。一方面加强对制度的宣贯。机构变动后要及时组织全员学习相关信息网络安全管理制度,要求全员严格遵守信息安全相关规定。另一方面及时梳理更新用户。根据人员调动情况,对内网终端计算机用户进行排查,及时增加新用户,删除岗位调离的用户,在新计算机入网前,要按照计算机管理办法履行接入申请手续后方可接入信息内网,并按照计算机管理办法和计算机加固指南,对原有用户或原计算机先进行注销,后进行注册,确保信息安全管理规范、有序进行。

2.2 加强安全组织管理,提高全员信息安全意识

要切实提高对信息安全管理工作的认识,充分发挥安全组织机构的管理作用,进一步强化三级安全生产责任制度,安全生产工作做到逐级负责、落实到人,提高全员信息安全意识。首先,要成立信息安全领导小组,根据工作需要及岗位的变化,适时调整小组成员,定期召开领导小组会议,解决信息安全工作中遇到的问题。其次,要设立信息安全专职管理员,规定相应的岗位职责,明确信息安全工作要求,为信息安全管理提供制度保障。最后,要明确各级员工的信息安全职责,并由信息部门定期开展信息安全检查,促使其规范地使用计算机。

2.3 重视信息安全管理制度的完善与落实

企业管理制度是基于企业组织结构之下的,企业为求得利益最大化,在生产与经营实践活动中制定的强制性规范。信息安全管理制度是电力企业管理制度的重要组成部分,是实现企业安全目标的强制性措施,是员工从事安全生产的行为规范。重视企业信息安全文化建设就要重视信息安全管理制度的完善与落实。

2.4 定期开展信息安全检查,促进企业信息安全

定期开展信息安全检查是促进企业信息安全管理的有效途径之一。在信息安全管理中要加强日常检查和指导,并定期地开展各项综合检查和专项检查,使各项规章制度渗透到日常的工作中,从而强化规章制度的约束力。通过检查,及时发现信息安全隐患,积极采取有效措施,及时清除安全隐患,促使员工不断提高信息安全的意识,自觉有效地降低人为的信息安全风险,将可能出现的信息安全事件消灭在萌芽状态。

2.5 建立信息安全培训长效机制

信息安全管理应建立信息安全培训的长效机制,保证信息安全管理的动态推进和持续改进。每年要制定切合实际的信息安全培训计划,并把安全培训与技能培训结合起来,以安全培训为契机,提高员工队伍的整体安全文化意识。培训内容除有关安全知识和技能外,还应包括对严格遵守安全规范的理解以及个人安全职责的重要意义等。

2.6 加强宣传,营造“保障信息安全人人有责”的良好氛围

信息运维人员在日常运维工作中,要坚持服务与传授计算机应用知识相结合,不断提高全员计算机操作水平。另外还可以利用公告、网站、协同办公平台、手机短信等多种方式加强宣传,有针对性地宣传上级有关信息安全的工作方针、政策;有选择性地公告一些安全技术、安全常识、事故案例等,供企业员工讨论学习,使员工真正认识到信息安全的重要性,努力营造“保障信息安全人人有责”的良好氛围,让全员为信息安全风险防范构筑一道坚实的职业道德防护屏障。

2.7 加强计算机实体安全管理

加强对计算机实体的管理,防止信息资料的泄露。加强密码与口令管理,密码设置必须符合安全要求并定期更换,确保口令、密码的有效性。注重计算机病毒的检测与防治,及时安装操作系统和应用程序漏洞补丁程序,安装桌面管控、防病毒等必需的信息安全产品,坚决杜绝内网计算机以任何形式的违规外联。

3 结语

建立信息安全文化意味着每一个员工都是保证安全的重要执行者,要增强网络与信息系统的安全,知道相关的安全风险和防范措施,并承担责任和采取措施。不能仅仅把信息安全视为技术层面的概念,而应当把它深化到全员意识中,将信息安全文化融入到员工的日常工作中,全面普及信息安全文化,只有这样才能为电力安全文化建设打下坚实的基础。

参考文献

[1] 刘燕辉,李南阳.全员安全文化是保障信息安全的有效手段[J].金融科技时代,2011,(10):72-74.

[2] 王淑英.加强安全文化建设 提升安全管理水平[J].企业研究,2011,(8):61-63.

篇6

关键词:信息 安全 现状分析 存在问题 防控措施

随着国家电网公司信息化战略的部署和资金、技术的投入,县级供电企业的信息化建设水平得到了很快的提升,供电企业的生产调度和经营管理对计算机和网络信息系统的依赖程度也越来越强,甚至,离开了信息系统的支撑,日常的生产、经营、管理活动已经不能顺利进行。但是,需要引起重视的是,县级供电企业在信息化跃进过程中,在人员、设备、技术和管理中的不足,使信息安全面临的风险也在日益突出。

一、信息安全风险

信息作为一种特殊资源与其它资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性。

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。

县级供电公司信息安全的风险有内部的,也有外部的。内部的表现为:网络故障、应用系统故障等;外部的表现为:网络入侵、外部泄密等。内、外部网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力企业网络上连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取商业秘密和机密信息,非法使用网络资源等,将给企业造成巨大的损失。

二、信息化网络及应用现状分析

在网络硬件方面,已经建成CISCO7603、CISCO4507R为主交换机,主干为千兆的以太网。上联网络连接升级为光纤通信为主,以太网2M为备用的方式。建成了覆盖全公司20多个乡镇供电所及变电所的农村信息网。实现百兆到桌面、三层交换、VLAN等技术普及使用。主要分为两类网络系统,一类是实时系统,有调度自动化系统、设备监控操作系统;另一类是非实时的办公自动化应用系统、电能量采集系统、集中抄表系统。两类网络系统是物理隔离,分网运行的。

在软件方面,各应用主要包括调度自动化系统、负荷监控系统等。计算机及信息网络系统在电力生产、建设等各个领域有着十分广泛的应用,为安全生产、降低成本等方面取得了明显的社会效益和经济效益。

三、信息安全现状分析

按照省、市公司信息化工作的统一部署,我公司信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行了物理隔离。按江苏省电力公司系统集成、数据集中要求,调度系统、电力营销等核心数据都集中在省市公司管理,对公司网站、NOTES、下属企业财务数据都建立了备份策略和容错措施。企业内网和互联网采取了严格的隔离措施,严防内外网机器混用造成信息外联。信息网络按业务划分了10个VLAN,设置了访问控制。采取了统一的域名管理,与市公司共享操作系统LiveUpdate系统,及时派发更新程序,堵塞操作系统漏洞。部署了symantec防病毒软件,通过派发的形式对整个网络部署查、杀毒。全面应用了国网桌面终端管理系统,实时监控客户端的异常情况。采用了国网移动存储介质管理系统,加强对移动存储介质的管理。

但是客观来说,县级供电企业在信息安全管理上人员、技术薄弱,职工信息安全意识不到位,管理流程上存在疏漏,给网络的安全埋伏了很多的不利因素。

四、信息安全存在的问题

1、操作系统及网络安全问题。

目前,电力企业信息网络中使用的硬件设备及操作系统的核心技术基本上来自国外,被认为是易窥视和易打击的“玻璃网”,网络安全处于被窃听、干扰等多种信息安全威胁的脆弱的状态。同时,县级供电企业的操作系统大部分缺乏正版保护,难以得到有效升级和修补,难免受到“木马”与“后门”的威胁;用户习惯于默认密码或管理者设置的初始密码,较容易被他人破解;操作系统不安全的默认设置、共享等都可能给非法入侵提供方便。对于网络设备,用户使用tracert等工具较容易获知核心交换机的IP地址,如果管理端口不加限制,使用空密码,明文密码或默认密码,交换设备有被恶意控制的可能。局域网络布点缺乏有效的规划和管理,对使用普通交换机随意串接,甚至使用无线路由串入,缺乏侦控手段,同时对计算机设备接入也缺乏有效的审查管理,内网外联风险比较突出。

2、应用系统用户身份认证和访问控制急需加强。企业中的信息系统一般为特定范围的用户使用,包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制。二是各应用系统之间没有一个统一的用户管理,使用起来非常不方便,更不用说账号的有效管理和安全了。三是用户安全意识不强,习惯于默认密码或管理者设置的初始密码。应用系统人员变换后,延用以前的密码,疏于更换帐号与口令。习惯于使用“保存账号”、“保存密码”的方式登陆应用系统。

3、木马与病毒问题。

随着Internet技术的发展、企业网络环境的壮大和企业网络应用的增多,病毒的感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。同时,黑客攻击的风险增大。黑客利用计算机系统、网络协议及数据库等方面的漏洞和缺陷,采用破解口令、天窗等于段侵入计算机系统,进行信息破坏或占用系统资源,使得用户无法使用自己的机器。非正版保护的操作系统和应用软件的使用,为木马与病毒的植入及黑客攻击提供了可能;部分客户机的操作系统和防病毒软件未能及时得到升级,系统用户在使用移动介质在外网和内网之间交换数据时,很容易携入木马与病毒,使之成为发动攻击的肉鸡。

4、存储介质管理问题。

目前,县级供电公司虽然推广使用了国家电网移动存储介质管理系统,但是在使用中仍存在三种信息失密可能:一是用户习惯使用注册时的默认密码,不加以个性化更改,这样移动介质被他人获取后很容易被破解,使数据泄密。二是部分用户在移动存储介质注册时,为图使用方便,划分出自由区域,在实际使用时,绕过保密区登陆使用,将工作文档存储在自由区,如此使用移动介质,毫无保密可言,极易形成信息外泄;移动存储介质的交叉使用,也可能造成信息内部失密。另外,机器维修也需加强管理,目前,县级供电公司基本上计算机专职配置为1人,需要管理300台左右的机器和庞大的局域网络,基本上是疲于应付,计算机故障处理、系统重装等一般外包给社会电脑门市,将单机信息保密工作寄托于维修商的良知,风险极大。

5、数据库数据和文件的明文存储。

电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以绕过应用系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。

五、针对信息安全漏洞的防控措施

1、加强信息安全教育。应该将信息纳入到供电企业安全管理中,并与生产安全置于同等重要的位置,长效管理,常抓常新。为了保证安全的成功和有效,信息主管部门应当对企业各级管理人员、用户、技术人员进行安全培训。特别是对基层班组和供电所信息用户,应用能力相对薄弱,亟需开展定期的应用能力培训和考核。所有的职工必须了解并严格执行企业安全策略,明确其对企业信息安全所承担的职责和义务,要求能够保证自己的计算机和相关应用的安全。

2、加强密码管理工作。对网络设备、操作系统等各类密码要妥善治理,杜绝默认密码,出厂密码,无密码和容易猜测的密码,防止非法用户入侵使用。密码要及时更新,特别是有职员调离时密码一定要及时更新。减少应用系统的账号共用、通用。

3、加强信息介质的管理。备份的介质要防止丢失和被盗。移动存储介质注册时要限制使用自由存储区域,减少使用通用密码。建立报废的介质的清除和销毁制度,加强报废介质管理。增加计算机管理人员配备和加强计算机管理网络建立,逐步减少外送维修,防范外修过程中存储介质信息的泄密。

4、加强设备技术投入。应用先进的加密技术和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求。引进进侵检测系统提供企业级的安全检测手段,最大限度地、全天候地实施网络监控。在事后分析的时候,可以清楚地界定责任人和责任事件,为网络治理提供强有力的保障。建议取消DHCP服务,在交换设备上使用MAC地址与IP地址的绑定,加强接入内网设备的有序管理。

5、加强内网外联治理。在管理上,加强内网外联知识与危害性的广泛宣传,对发生内网外联事件的人要严肃处理,捆绑考核。在技术上,内、外网的设备接入要有明显的物理隔离和标志,防止误操作的发生;杜绝计算机内外网混用;严格防范ADSL等设备接入内网终端。

6、加强信息责任制考核。要强化信息安全考核机制的执行,对发生的信息安全事故或隐患,要通过技术手段追踪到责任人,并按照四不放过的要求,组织分析调查,落实考核、落实整改措施,并举一反三,深化对全体职工信息安全养成教育。

六、结束语

综上所述,技术是信息安全的主体,管理是安全的灵魂,信息安全,三分技术,七分管理。只有将有效的安全管理实践自始至终贯彻落实于信息安全工作当中,信息安全的长期性和稳定性才能有所保证。

参考文献:

[1]刘立兵.浅谈计算机网络在电力系统的应用及安全性

篇7

创旗总部位于上海,目前在山东、北京、广州等均设有分公司,并拥有30多项完全自主知识产权和专利。公司作为上海市、山东省通信管理局系统合作开发单位,连续多年来为通信管理局开发部署网站备案业务管理系统,互联网发展行业报告系统、互联网行业监管系统等,并获得“上海市电信行业先进集体”荣誉称号。

创旗秉承“应用产生价值”的理念,为全国云服务商提供完善的互联网信息安全解决方案,主要产品包括ICP/IP域名备案系统、 IDC信息安全管理系统、接入资源管理系统、IDC/ISP信息安全系统等。核心团队已拥有15年云计算领域运营经验,并结合云计算实际业务流程对备案管理系统进行需求扩展,精简优化,成功应用在各项业务运营中,大大提高了业务管理效率,极大地节约了运营成本。

创旗已经为上千家IDC/ISP企业提供了多年的专业技术服务,客户涵盖政府、国企、上市公司、民营企业。其中知名客户有:上海市通信管理局、山东省通信管理局、中国长城互联网、中国电信、中国石油、中国石化、奇虎360、百度、腾讯、网宿科技、七牛、青云、金山云、宝信软件、银联商务、世纪互联、鹏博士、赛尔新技术、太平洋电信、高升控股等。

据CNNIC统计,截至2016年6月,中国网民数量已经达7.1亿人。移动互联网用户接近5 亿,拥有全球最大的互联网用户基础。电子商务、网络视频、网络游戏等主要的商业模式都保持35%以上的行业增速,手游、移动广告等主要的移动互联网业务都保持50%以上的增速。互联网正在渗透到各个行业,餐饮、零售、理财、商品、服务等各领域都在受到互联网的影响,中国已经成为一个实际的互联网大国。

信息爆炸,加上垂直门户、移动社区、社交平台、短视频等越来越丰富的网络产品形态,产出的海量UGC内容使得互联网垃圾、有害信息空前增多,网络内容监管形势异常严峻。

网络空间是亿万民众共同的精神家园,应加强网络空间治理和网络内容建设,创旗使用先进的网络技术手段及时检测、识别大量的不良信息,对净化网络,还网络空间“天朗气清、生态良好”的氛围将具有积极作用。另一个方面IT环境日趋复杂和新技术的不断涌现对信息安全提出了更高的要求。

大数据、云计算、物联网、人工智能等新兴技术不断发展和应用,使得信息的获取方式、存储形态、传输渠道和处理方式都发生了质的变化。与此同时,用户数量爆炸性增长、数据的快速海量膨胀。

针对以上复杂情况,创旗信息安全产品具备更强的数据采集、处理与分析能力、更高的智能化水平甚至学习能力。创旗信息安全即服务的理念,将促使企业信息安全产品的形态不断变化,信息安全产品和设备之间加快融合。

篇8

【关键词】 电信;数据仓库;数据审计;内部安全

近年来,随着信息技术的大规模使用,国内电信企业信息安全问题凸显,移动充值卡破解、电信计费数据库清零等各类事件,使我们认识到,电信行业内业务系统的信息安全治理问题已经成为了当前的一道难题。从这个角度来看,本文对电信企业数据库审计以及内部安全问题进行研究具有一定的现实意义。

1电信企业数据库安全现状

电信行业的信息化提高了企业的工作效率,也提升了电信企业的服务质量。但是,由于当前电信企业的数据库普遍采用的是传统的安全防范技术,过分强调单个安全产品的重要性,比如对防火墙的性能以及功能过分的信赖,导致对其数据库信息安全缺乏一个系统、完整的解决方案。同时,由于我国的电信企业业务发展非常快,用户数量快速增长的同时也导致数据剧增, 在这个过程中,电信企业也面临着需要更多的数据访问的威胁、内部人员威胁、软件开发商等外部人员的威胁以及防火墙内部黑客攻击的威胁等等。这些威胁的客观存在在实践中也造成了不少的电信企业数据库安全事故。总之,电信企业数据库安全问题不容乐观。

2电信企业数据库审计与内部安全系统的设计

2.1电信企业数据库审计与内部安全系统所需实现的功能

根据电信行业的特殊性,以及当前我国电信企业在数据库审计以及内部安全方面的现状,我们认为,电信企业数据库审计与内部安全系统所需实现的功能有如下几个方面:(1)能够实时的进行审计,通过对电信企业的各项业务数据的实时收集,审理各业务系统的安全审计日志;(2)对数据库审计策略进行管理,如果电信企业数据库是Oracle数据库,则需要能实现对细粒度审计信息的收集;(3)监控多种数据平台,保证良好的扩展性;(4)支持多业务系统的审计日志统一管理,保障信息化系统数据的安全性与合规性;(5)对审计信息进行良好的展现与分析,并且实时观察电信企业核心业务的安全性。

2.2电信企业数据库审计与内部安全系统的架构设计

本次设计的电信企业数据库审计与内部安全系统的架构包括了四个核心部分,即审计数据源、审计信息的采集、审计信息的汇总以及分主题的展现,详情如下图所示:

图1电信企业数据库审计与内部安全系统的架构设计

2.3系统的实现

数据源部分,主要包括了与客户经营活动相关的各种数据,首先确保系统具有较强的可扩展性,使其能够支持各种数据源的接口,包括CRM数据系统、综合计费账务系统、综合结算系统、客户服务系统以及财务系统等。

数据采集部分,主要是采集如下几个方面的数据:(1)各类业务系统的数据库审计策略;(2)根据审计策略定时从需要监控和审计的业务系统中获取审计结果。

审计信息汇总部分,实际上就是一个数据仓库,通过将各类数据进行分析,建立自动数据处理机制,为数据库的审计以及内部监控信息的分析提供一个完整的、可靠地、统一的数据存储。

分类主体展现方面,实际上就是通过配合不同的数据分析应用,通过客户机或者浏览器的方式,对数据进行可视化的呈现,使得数据能够更好的被用户所接受和理解,实现数据库审计以及内部信息监控的价值,从而有效的提高决策准确性与决策的效率。要实现这些功能,实现要通过前端分析工具对数据仓库进行OLAP分析,由于其具有内置的开发空间,是一种所见即所得的开发方式,能够通过数据表、交叉表、曲线图等各种不同的形式或者组合形式来表现分析结果,对数据进行多维分析、趋势分析、意外分析、排名分析、比较分析、原因和影响分析以及What-If分析,从而实现数据库的审计和内部信息监管。

3结语

当前,电信行业内的业务信息系统的安全治理是电信企业面临的一道难题。这既有来自于电信企业外部的层出不穷的入侵和攻击,也有来自于电信企业内部的违规和泄漏。由于电信业务系统众多(如:OSS、BSS、MSS、销账、EIP、OCS、财务、营销支撑、计费结算等),数据库用户较多,涉及数据库管理员、内部员工、营业厅及合作方人员等,因此网络管理更加复杂文章对当前我国的电信企业数据库安全现状进行了大致的分析,信息技术的飞速发展和普及,改变了现代企业的经营方式,越来越多的企业在正常的生产经营过程中,已经离不开IT系统的支持。在此基础上针对电信企业的业务开展特点和现状,提出了电信企业数据库审计及内部信息安全系统的基本需求,构建了系统的基本架构,并且对主要功能模块的实现进行了大致的探讨。希望本文的研究对于改善我国的电信企业信息安全现状能够有一定的推动和促进作用。

参考文献

[1] 刘畅. 构建基于数据仓库的劳动力服务决策系统[J]. 现代计算机. 2003(09)

[2] 张摘月,王峰. 数据仓库技术在基层人民银行的应用研究[J]. 中国金融电脑. 2001(08)

[3] 朱义军,王乘. 应用在电力系统中的数据仓库及其设计[J]. 广西电力. 2003(03)

[4] 王姝华,仲华,吕明. 移动通信企业数据仓库系统设计初探[J]. 江苏通信技术. 2004(02)

篇9

石油石化是影响国计民生的行业,承担着沉重的社会责任。2009年的新年钟声余音尚在,面对风云变幻的世界经济形势、疲软的市场、绷紧的资金链和与国外大型跨国石油石化企业在信息化方面的差距,如何有效利用信息技术削减金融危机的不利影响,保证企业又好又快发展,石油石化行业信息化在新一年的走向值得关注。

与国外石油石化行业跨国公司比较,在信息化发展和信息技术应用方面,我们还存在明显的差距。国外石油石化行业信息化的主要特点是信息系统功能涵盖企业生产与经营管理的各个层次,范围包括生产操作与控制层、生产执行层、业务营运层和集团企业管控层。原油调合、先进控制和优化控制、计划优化和生产优化、成品油调合、配送优化、装置设计优化、设备状态监控等先进的技术都得到广泛、稳定的应用。大型跨国石油石化企业信息技术应用的发展趋势是注重建立集中统一的企业运行管理和生产指挥系统。国外大型石油公司大多已建立集中统一、实时、可视化的企业营运管控平台和生产指挥平台。各大石油石化公司在单项应用日趋完善的基础上,重视各种应用系统的集成应用。不仅完成了ERP与MES、ERP与电子商务的集成,还在致力于ERP等系统在全球范围的整合和优化。不仅实现了下属企业内信息系统的整体集成和关联企业间的横向集成,还致力于企业与总部的纵向集成。国外油公司IT基础架构的共同趋向是集中,不仅在实现服务器和存储集中、数据集中、应用集中,也在实现IT基础设施的控制集中和管理集中。各大石油石化公司非常重视信息系统的长期持久效益,非常重视系统的持续优化改进和安全保障。普遍建立了规范化的IT服务管理架构,有完善的技术支持体系,有健全的信息系统运行保障制度和规范的岗位责任,能够象保证生产装置平稳安全运行一样保证信息系统的稳定运行,能及时有效的预防和处理系统的各种问题,通过定期维护保证其功能正常。

国外同行信息化的发展趋势、我们的现状和面临的形势表明,与业务高层次深度融和、深化应用仍将是石油石化行业今年信息化工作的主旋律。2009年石油石化行业信息化工作会特别关注以信息技术支持强化集团管控,更加重视信息系统的整合与优化,将进一步优化IT资源配置,进一步加强企业信息化队伍的建设、完善IT治理架构,继续探索、研究石油石化行业信息化和信息技术应用的规律。

严峻的经济形势将使石油石化行业更加重视集团企业的集中管控,重视建立集中管控系统需要的实时统一的企业生产营运数据视图,重视与自动化操作平台一体化的,提供及时、准确、完整的生产营运数据的自动化数据采集平台建设,以支持集团的集中管控为目标,建设和优化下属企业的信息系统。将更加关注利用集成的上下统一的信息化集中管控平台,提高信息上传下达的实时性、完整性和一致性,加强集团管控能力,强化集团总部的指挥、协调和监控能力,提高集团总部对日常运行和重大事件的处理、监督、控制的能力和水平。

企业信息系统建设从分散到集中,在整合中优化,在石油石化行业已被看作是企业信息化的一条发展规律。石油石化企业将更加重视从数据集成、应用集成和展现集成三个层次实施下属企业内部的信息系统集成、总部与企业的纵向信息系统集成和以企业价值链为主线的横向信息系统集成。通过深化应用和集成,使ERP、MES等系统在监控企业运作,掌控企业动态方面的作用得到显现。

石油石化行业将围绕对集中管控相关信息系统的应用保障,进一步优化IT资源配置,完善信息技术基础设施,更有效的发挥IT资产的作用。为了应对数据集中带来的风险集中,石油石化行业将继续建立和完善同城和/或异地的,集中和/或分散的数据备份和灾难恢复中心。将完善和优化以统一用户身份管理、鉴别与认证、访问控制、审计和跟踪、响应与恢复和内容安全为主的应用安全基础设施,保证信息系统的安全可靠运行。将更广泛的采用松耦合的面向服务(SOA)的技术架构,构建有弹性的、即插即用的,应用系统构建、运行与管理的基础设施,使企业的信息系统对企业组织架构、管理架构和各种应用条件、业务需求的变化有更好的适应性,以更有效的利用企业在信息系统上的投入。在信息技术基础设施建设中,对IT自身的绿色环保、节能减排以及虚拟化等技术的发展走向将给予更多的关注。

信息技术与业务的融和,以信息化支持集团管控,对石油石化行业的信息化管理、建设和运维队伍都将提出更高的要求。集团管控要求信息系统的服务对象由基层员工提升到集团和企业的高管,信息化工作者对业务理解的层次由业务操作层提升到企业管控层,项目管理的规模由单个项目实施的管理,提升到以项目群、项目组合为主的组织级项目管理。集团管控对信息化队伍的技能和知识结构提出了更高的要求。其掌握的知识,要由以信息技术为主,扩展到管理、治理和对业务与集团企业管控的深刻理解。新形势下的信息化管理和信息系统的建设、运维,都需要能够融和信息技术与业务的复合人才,需要从信息系统的规划、设计阶段就有能力考虑信息系统集成、信息系统安全和IT服务管理的复合人才。

IT是集团企业管控的重要手段,集团企业的IT也需要强有力的管控。随着石油石化行业信息化工作的不断深化,将继续加大集中建设、统一管理的力度,将更加重视信息安全、信息系统运维、IT治理和完善内控制度等方面的工作,更加重视对信息系统的风险防范。石油石化行业将根据强化集团管控的要求,继续加强对IT的管控,将会更加关注IT治理,不断优化、完善信息化管理的架构、流程和规则。

篇10

1保险企业信息安全管理的现状

当前的很多保险企业当中仍然存在

的问题就是计算机信息安全管理问题,而且这个问题也是各国企业比较常见的问题,亟待采取有效的解决措施。在一些相对比较发达的企业,就可能会存在更多的信息安全隐患。首先,当前的互联网正在快速地发展和进步,并加大了对信息技术的改革与创新,与此同时也衍生出很多的恶意项目工具,甚至信息系统本身也存在一定程度的漏洞,这些就可能会促使一部分的不法分子有机可乘;其次,保险企业本身并未对信息安全的管理工作给予高度的重视,从而导致信息安全问题层出不穷。如今,我国保险行业得到了快速的发展,加之外界环境因素的影响,从而暴露出越来越多的问题,此时就需要对这些问题进行全面、系统的分析。

1.1缺乏完善的法律法规

如今,虽然现在与计算机信息安全管理有关的条文比较多,但是他们被分散于各种标准、管理办法、法律、法规及道德规范等多个方面,然而,当前并不具备一套系统、完善的法律法规来更进一步地保障信息的安全问题。同时,当前现有的一些法律法规,可能是因为仍然有很大一部分的相关安全技术和手段还没有达到足够的成熟和标准化,这样就更加不容易去执行一些相关的法律法规。因此,如果缺少一些与保险行业相匹配的信息安全管理法律法规,从而导致保险企业无法顺利的开展相关工作,不利于计算机信息安全管理体系的构建。

1.2缺乏足够的重视

当前仍然有很大一部分的保险企业的管理层不是非常注重和关注一些相关的信息安全管理工作,而且他们并没有在进行管理工作的过程中投入足够的人力、物力以及财力等。有很大一部分的保险企业在治理公司过程中,只会对保险企业的适当地调整销售策略、业务规模发展问题、优化组织结构、相关运营流程等给予关注,这些公司都不是足够重视对信息安全管理问题的处理,他们都忽视了信息安全问题会影响保险企业的发展。实际上,在市场经济体系下,大多数保险企业只有在遇到信息安全事件后才会对计算机信息安全管理体系给予重视。此时,就需要保险企业在公司平时进行治理工作的过程中,他们能够投入更多的时间和精力来对现有的信息安全管理体系进行补充和完善,并给予高度的重视,从而有效提高信息安全管理体系建设效率。

1.3对风险评估力度不够

在信息安全管理体系建设过程中,大多数保险企业不能够准确地评估对于该过程中可能会存在的风险,并未对信息化过程中可能出现的安全风险问题给予综合考虑。一般情况下,他们可能只会考虑到一些相应的信息技术问题,但是并没有认真地思考在运用信息系统之后可能会显现出来的信息安全问题。实际上,保险企业不管是否对信息安全管理系统中所存在的安全风险问题进行评估,从而给保险企业的发展带来不利影响。一旦信息安全管理体系出现比较严重的问题,不仅会造成无法弥补的损失,而且也不能够实行一些正常的业务操作,甚至还可能会造成一些非常严重的后果,比如是企业内部机密泄露、重要数据被盗或被篡改、客户个人信息泄露等问题。因此,越来越多的保险企业由于对风险评估力度不够,从而导致系统本身存在操作失误、缺陷等原因而诱发的一系列安全问题。

1.4未明确安全管理责任划分

对保险企业来说,虽然对信息安全管理体系的建设给予了高度的重视,但是他们缺乏一套与企业发展相匹配的安全管理制度,未明确安全管理责任的划分,从而在一定程度上影响了保险企业的发展。如果这些企业现在还没有制定出一些相关的信息安全管理制度并能够坚持执行,而且企业在出现相应的信息安全问题之后,并不能够非常清晰地划分出具体的责任人,这样时间越来越长,就会在信息安全问题的监管方面出现越来越大的漏洞,自然而然地,也更加不容易去形成一个可以控制的信息安全管理体系。对于一个保险企业而言,在他们公司所出现的一些信息安全管理问题,需要每一位企业员工给予重视,而不能依靠企业当中的某一个人或某一个部门单独负责来对安全管理问题进行处理。对于保险企业而言,他们必须制定出相应的制度并划分出比较明确的责任,而且每个部门都应该有一个负责人来负责信息安全问题,以确保问题发生时能够有人给予立即处理。如果不设置一个负责人的话,就可能对信息安全管理体系的构建问题产生一定的影响,还会阻碍一个企业的信息安全管理工作和任务的完成。因此,对于保险企业而言,在处理这些现实状况以及各种各样问题的时候,则需要结合实际情况构建一套系统、完善的信息安全管理体系,从而使安全风险问题得到有效解决,更好的发挥信息安全管理体系建设的优势,确保保险企业的健康、可持续发展。

2保险企业计算机信息安全管理体系构建的对策

2.1健全和完善安全管理标准

对于保险企业而言,要想更好的推动信息安全管理体系构建,就需要对现有的信息安全管理标准进行健全和完善,并更加深入的分析和归纳信息安全管理标准内容,不仅需要考虑信息技术相关的问题,而且还不能够忽略信息安全管理问题。在进行计算机安全管理研究过程中,为了获取比较良好的研究成果,则需要进一步健全信息安全管理标准,并创建信息安全标准化组织和信息安全管理标准框架,以确保信息安全管理体系构建工作有条不紊的进行。在我们国家,虽然在研究信息安全的时候,不是很早,但是经过当前不断的完善过程,我们国家也制定出了一个更加符合我们国家基本国情的信息安全管理标准。

2.2实现科学的信息安全管理

对于保险企业而言,他们如果想要更好地实现比较科学的信息安全管理,就必须要充分地考虑到信息安全问题可能诱发的不利影响。对于保险企业而言,在信息安全管理方面,不仅需要有效地管理机构安全和人员安全的管理,而且要做好场地设施和技术安全的管理工作。同时,保险企业还需要采取比较科学的方式,从而可以有效地构建一套可实施的、科学合理的计算机系统安全管理体系,并结合实际情况制定一套规范、完善的安全防范措施,选择一些可靠性比较大的、比较稳定的、比较安全的产品,并对现有的安全评估标准和等级进行细化和完善,以便能够进行一些有效的检查策略,从而可以更好地开展信息安全管理工作,为保险企业的发展奠定良好的基础。

2.3重视安全风险评估工作

对保险企业而言,在进行信息化平台建设过程中,就需要适当地进行对安全风险的评估,如果缺乏相应的风险评估工作,将会导致信息安全管理工作无法顺利进行。同时,在信息安全风险评估过程中,还需要制定一套能够有效应对风险的措施和方案,这样可以有效地防止和解决一些突发状况,并确保信息的安全性、有效性。