公司信息安全建设范文
时间:2023-10-09 17:31:18
导语:如何才能写好一篇公司信息安全建设,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。
篇1
1 供电公司信息系统数据安全的总体设计分析
1.1 设计的总体目标
供电公司是我国国民经济的重要组成部分。电力企业的发展一直都是我国政府重点关注的部分。它不仅是提升国民经济收入的重要来源,还是促进社会生产、生活稳定发展的重要基础。近些年来,供电公司一直追随着国家提出的对电网发展的要求,致力于信息系统数据安全的建设。但是,供电公司信息系统数据受到“黑客”等不良袭击的事件屡屡发生。对社会生活,以及国家政治,都造成了较大的负面影响。因此,供电公司投入精力,建设信息系统数据安全是当前的重要任务。
1.2 信息系统数据安全的基本原则
1.2.1 针对性
对于我国的供电公司来说,要想进行现代化的信息系统数据安全建设,就要充分跟着国家政府提出的相关设计方案。着重关注当前社会时常出现的信息安全风险防范问题,提出针对性更强的改革创新策略。因此,在进行供电公司信息系统数据安全改革的过程中,必须要从公司自身的情况出发,再结合社会风险应对经验,提出更加适合自己的信息安全建设模式。
1.2.2 可扩展性
在充分针对公司面临的问题之后,信息系统安全建设还要具有更强的可扩展性,以及秀的伸缩性。在我国经济和科技飞速发展的条件下,各大公司在几十年的发展下,不断扩展自身的业务范围。当社会市场的需求发生变化时,我们创建的信息系统数据安全系统还能够不断容纳新的内容,防止短时期内的不良伤害。然后再在维护的基础上,进行进一步的改革创新。
1.2.3 实用性
从我国供电公司的实际发展过程中,我们发现信息安全建设是一项重要的经济支出项目。但是如果供电公司在信息安全建设当中投入过多,并不利于公司的长久稳定发展。因此,从经济条件的角度考量,我们认为,在创建信息系统数据安全项目时,要尽可能地缩短项目开发的周期,降低其耗费的资金和时间。保障信息数据系统的可操作性,为用户提供真正便捷的方式。
1.2.4 可靠性
在供电公司信息系统数据安全的建设过程当中,其信息网络系统的改革方案必须要具备较强的可靠性。这是保障供电公司信息系统稳定运营的基础。在此,我们可以采取实用性较强的现代化软件,来提升系统的稳定性。除了考虑现有软件之外,还可以采取一些集群管理功能的产品。这种产品在一定程度上,能够保障系统的稳定性。
1.2.5 集成性
在我国的供电公司信息系统当中,数据的分类和用途十分复杂。因此,在保障信息安全时,必然也要从系统本身特点出发。确保所使用的信息安全系统结构清晰明了,扩展的形式更加便捷。
2 供电公司信息系统数据安全建设需求
2.1 物理安全建设
2.1.1 物理环境的安全需求
在一般情况下,电力公司存放的重要信息能够通过电磁辐射等形式被盗用。因此,在对信息安全进行管理时,要对信息存放的机房进行有效的创新。创新主要针对的就是对电磁辐射等形式的拦截或干扰。除了要防范人为因素之外,还要有效防范某些自然的因素,例如自然的丢失,或者系统性能不稳定导致的信息损坏等。对于那些管理数据的关键设备,要进行冗余配置,保障更强的数据恢复和数据备份能力,确保重要信息的安全。除此之外,为了充分保障网络传输线路的安全性、稳定性,就要对网络传输线路的备份进行升级。因为供电公司的许多设施都无法进行精密的保护,如网络线缆等。供电公司要充分关注这些设备的安全性,防止其因雷击、火灾等不可控因素造成破坏。
2.1.2 物理隔离需求
在供电公司的业务范围内,有许多业务都具有较强的特殊性,对基本的物理隔离也有特殊的要求。因此,电力公司在执行这些业务时,要注意设置有效的物理隔离设施,在需要的地方,保障内外网的隔离,以及不同网段之间的隔离。从根源上防止出现信息病毒的侵袭。
2.2 网络层安全建设
2.2.1 防火墙需求
防火墙是保障信息安全的最为经济的防护方式之一,通过配置相应的信息安全策略,防火墙能够承担一大部分的安全防护。它能够帮助实现内网与外网连接部分的安全。
2.2.2 网络管理安全
在我国供电公司的网络信息系统当中,一般情况下,不同的信息管理系统,或有相应的子网作支撑。因此,对子网安全的保护,也就是对信息系统的保护。为此,我们可以采用在子网建立防火墙,采用物理隔离的方式,来实现安全防护。在对子网进行保护时,还要充分关注子网接口处的安全。
2.3 系统安全
2.3.1 操作系统的安全需求
电力公司要根据自身信息系统的重要性来考虑,尽量使用安全性能较强的操作系统。实时做好系统的维护工作,关闭一些使用性不强,或者安全性能不高的程序。将对用户负责放在服务的第一位。当用户部分的网络出现安全隐患时,要及时采取有效措施,帮助合理解决。
2.3.2 防病毒系统安全建设
在网络信息系统数据安全建设的过程中,防御占据重要的地位。计算机中包含的信息病毒一旦传播开来,对该网络领域就是难以恢复的打击。因此,电力公司要首先做好防病毒系统安全的建设。在主机和服务器当中,设置防病毒系统,并时常观察其运行状况。
2.4 安全管理
电力公司要想做好安全管理,就必须在全公司内部宣传安全体系建立的基本思想。让公司的领导者、工作人员都从观念上重视信息系统数据安全。然后再结合公司自身的特点,配合创建安全管理规范,设计好安全防范责任制度。让公司的信息系统安全管理有法可依。在安全防范责任制度当中,尽量将信息安全责任划分到区域、再到个人,督促工作人员严格执行信息安全保护工作。
3 结语
在当前网络和应用系统的飞速发展下,供电公司的信息安全管理任务更加紧急。供电公司的一切业务,都需要完善的网络信息系统来达成。这种依赖会完善供电公司的信息安全保护措施,同时也会促进网络信息系统的发展。从而走向良性循环发展的道路。
参考文献
[1]崔宝娣.信息系统数据安全管理综述[J].电力信息化,2007(05).
[2]易焱华.管理信息系统数据安全监控方案设计[J].信息系统工程,2016(12).
篇2
1.引言
省级电网公司信息安全防护工作事关电力安全生产和电网公司稳定运营,意义重大[1]。由于大多数业务应用已经省级集中,常规信息安全技术监督工作多被认为是省级公司层面的问题。省级单位监督力量不足,久而久之,信息安全监督工作流于形式,检查前重视、检查后忽视,信息安全地区差异大,网络末端安全防护不足。究其根源在于:(1)信息安全技术监督未成体系,监督力量多依靠公司级监督队伍,市、县公司专(兼)职信息安全员未被赋予督查的权力,导致基层单位日常督查的力度和效果不够,各项技术措施落实情况管控不足。(2)基层单位地区经济水平、单位领导信息安全重视程度、信息从业人员技术水平存在差异,造成信息安全意识宣贯和管理手段不同,且各单位缺乏安全技术交流。
为此,本文结合作者单位实际,提出一种电力企业信息安全技术监督体系,从组织架构、工作组织形式、主要技术手段、人力资源资格审核与培养以及制度规范等5个方面具体分析工作机制,并总结其实际工作成效。
2.电力企业信息安全技术监督体系的设计
2.1 组织架构
信息安全技术监督不仅仅是公司层面的问题,为充分发挥信息安全监督体系的整体作用,促进信息安全管理水平的不断提升,电力企业应建立贯穿所属各单位的信息安全监督网络,健全完善信息安全技术督查工作体系,如图1所示。
2.1.1 省公司级信息安全监督网络
由省级单位信息管理部门、省级信息技术研究单位信息安全分管领导和专职组成。主要负责贯彻落实上级单位有关信息通信系统安全的方针政策、规范和标准;组织公司信息通信安全技术督查工作,督促有关单位及时有效整改,建立常态信息通信安全技术督查机制;根据公司实际情况,组织制定公司信息通信安全技术督查工作实施细则、考核细则;健全公司信息通信安全技术督查执行队伍,定期组织督查执行人员的培训和考核,负责督查资质证书的认定工作。
2.1.2 市公司级信息安全监督网络
由市级单位信息管理部门信息安全分管领导和信息安全专职组成,主要负责依据信息安全技术督查有关政策、法规、标准、规程、制度,执行公司级信息安全督查执行队伍安排的信息安全技术督查和跨单位互查工作;开展本单位运维范围内的日常督查,将运行维护阶段的督查内容融入日常安全工作中,对督查要求执行情况进行检查,及时发现问题并提出处理意见和技术措施建议;参与本单位信息通信系统重大技术措施与技术改造方案的制订,督查、促进和检查本单位范围内的技术标准、反事故措施、改造方案的贯彻和执行。
2.1.3 县级信息安全监督网络
由县级单位信息管理部门信息安全分管领导和专(兼)职信息安全员组成,主要负责开展本单位日常督查,将运行维护阶段的督查内容融入各自单位的日常安全工作中,对本单位运行维护阶段的督查要求执行情况进行检查,及时发现问题并提出处理意见和技术措施建议。
2.2 工作组织形式
监督工作应包括年度督查、日常督查、专项督查三种类型,以远程检查、区域互查、现场抽查等多种形式加强监督工作,监测分析当前信息通信安全形势,及时发现和消除安全隐患。
2.2.1 年度督查
公司级信息安全监督网应根据全年信息化和通信工作情况,按照横向到边、纵向到底的原则,每年至少实施两次由公司级和市级督查执行队伍联合开展的年度督查工作,以区域互查的方式,全方位的查找信息系统安全隐患,督促隐患整改。
2.2.2 日常督查
市级和县级督查执行队伍应在日常工作中履行信息安全管理员的职责,每月对本单位的信息内外网网络与信息系统、桌面终端、存储介质等进行全方位督查。
2.2.3 专项督查
根据具体信息项目或信息安全工作需求,由省公司级督查执行队伍对信息系统的规划、设计、实施、运行维护、废弃等过程,安全评估、等级测评等信息安全技术服务开展专项督查。
2.3 主要技术要求
2.3.1 风险评估及漏洞扫描
通过定期开展的信息安全风险评估及漏洞扫描,对现有的网络结构、核心路由器、交换机等网络及设备、数据库服务器、邮件服务器、应用服务器等关键服务器,业务流程、安全策略的安全漏洞,安全威胁及潜在影响进行分析,并提出合理的安全建议和解决方案;对全网网络设备、服务器、桌面终端进行漏洞扫描,及时发现各种安全漏洞,并根据危害程度以保证系统资产的机密性、完整性和可用性的基本安全属性[2]。
2.3.2 应用系统安全测评
每年各单位都有新应用系统上线运行,由于系统开发人员信息安全意识不足,存在不少安全漏洞。按照信息安全技术监督工作要求,在系统上线前由信息安全技术监督人员参与信息系统技术措施与技术改造方案的制订,审核信息安全技术与工作内容。在系统投运前开展系统稳定性、安全性测试。通过上线前安全测评及时发现并排除应用系统存在的安全隐患。
2.3.3 安全监控及远程检查
利用信息外网安全监测系统、信息运维综合监管系统、信息安全综合工作平台等各类安全技术手段,对各单位互联网出口、桌面终端、移动存储介质、弱口令等开展安全监控;利用互联网出口部署的入侵监测设备和上网行为管理系统,对互联网攻击情况和上网行为进行内容审计和处理。
2.4 人力资源资格与培养
2.4.1 持证上岗
各级督查执行人员需持证上岗,经公司统一组织的安全督查培训和考核后,分级别发放《信息安全技术督查证》。公司级督查执行人员还应通过注册信息安全专业人员(CISP)培训及认证。
2.4.2 技术培训
邀请系统内、外信息安全领域专家,定期开展信息安全技术培训和讲座,宣贯国家和公司信息安全形势和要求,学习当前最新信息安全技术和装备,分析典型信息安全风险隐患案例。
2.5 制度规范
制度规范是信息安全监督工作执行的依据,根据国网公司制定并下发的信息安全政策标准和管理规定,公司编制和实施细则和《信息安全督查作业指南》,对日常督查工作中各个流程的工作要求、工作模板进行描述。
3.工作成效
公司信息安全督查体系建立完善期间正值“三集五大”建设的关键时期,各单位业务切换、人员调动频繁,管理难度大为增加,如果没有很好的监督体系,各项管理制度和技术措施的落实,特别是管理末端桌面终端的安全漏洞就会暴露出来。经过短短几个月监督工作的开展,各单位信息安全工作井然有序,没有发生一起因信息安全引发的信息系统运行事故。
(1)通过各种形式督查工作的开展,对检查暴露的安全隐患积极整改,有效消缺,保障了公司发展、运营和改革工作;通过对新上线系统的应用系统安全测评,有力支撑了改革期间大量应用的开发和运行工作。(2)通过持证上岗和各种培训工作,培养了一支信息安全人才队伍。目前所有公司级督查人员全部通过了CISP认证,市、县级专职督查人员逐步实现持证上岗,提高了公司各单位信息安全从业人员的技术素质。(3)通过区域间安全互查,加强了各单位信息安全经验交流,对消除地区差异,以弱带强,提升公司整体信息安全防护能力具备积极意义。
4.结论
通过信息安全技术监督体系的建立和实现,实现了贯穿公司各单位的信息安全督查网络,各地区信息安全从业人员技术水平平衡发展,监督和保障信息安全技术措施和管理要求有效落实,推进了公司整体信息安全管理水平。
篇3
随着中国国际航空股份有限公司(以下简称“国航”)信息系统建设的飞速发展,在2008年北京奥运会的安全保障工作中,安全不再只是空防安全和飞行安全,信息安全也已经成为奥运安保的重要环节,并被纳入国航及信息管理部的年度重点工作之中。
在此背景下,国航与IBM公司合作启动了信息安全规划咨询项目,它旨在为国航信息安全体系建设打下坚实的理论基础。同时,国航也通过该项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,并最终于2009年5月26日通过了ISO27001信息安全管理体系国际认证,使国航成为国内民航业第一家获得IS027001国际认证的单位。
与飞行安全一样重要
由于信息化建设已经深入到国航业务的各个角落,所以,几乎所有业务都与信息技术相关,特别是涉及到客户信任度的商务及财务方面更是如此。因此,在国航未来的发展战略中,信息安全已经占据了越来越重要的位置。现在,公司上下已经形成一个共识:打造信息安全管理体系这张保护网,就像确保飞行安全一样重要。
基于这样一个共识,我们从国航的业务愿景出发,引导出了国航的信息安全愿景,即国航需要建立起一个成熟的、具备国际水平的信息安全保障体系,这个保障体系第一要保证国航的核心业务不中断,第二要保障国航信息系统不被攻击,第三要保障重要的客户信息不被泄漏,通过一个全方位的安全保障体系为国航的业务愿景保驾护航。
虽然现在已获得了ISO27001国际认证,但国航的信息安全建设经历了一个漫长的过程,大致可以分为四个阶段:
第一个阶段是在2006年以前,当时信息系统对于国航的支撑力度相对有限,同时从整个业界来看,的安全威胁还不是很明显,所以,信息安全建设的特点是以零星建设和被动建设为主。
第二个阶段是2007~2008年,随着国航核心系统逐步投入运行,以及北京奥运会的临近,的安全风险不断增加,这是,国航开始针对性地对重点领域搭建技术防护措施。
第三个阶段是从2008年开始,随着国航对自身信息安全认识的不断深入,国航按照Is02700 L的标准,建立起了信息安全的管理体系。同时,还启动了全面的信息系统战略规划,根据国际最佳实践并结合国航的特色,制定了未来3~5年信息安全技术平台建设的蓝图和路径。自此,国航整个信息安全建设有了一个更加科学和更加明细的路线图。
搭建“安全翘翘板”
整体而言,国航的信息安全体系主要是以IT基础架构和安全技术架构为基础,通过信息安全组织与人员对业务逻辑的准确理解和制度流程的有效执行,实现完整的信息安全管理过程。
应该说,信息安全体系是一个非常复杂的体系。业界有个说法叫“安全翘翘板”,这个翘翘板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,通过这三方面的有效执行,从而构成信息安全体系。另外,还要加上安全的管理架构和技术架构,最后和业务逻辑结合起来,这样才能构成一个完整的信息安全体系。
目前,依据ISO27001标准,国航建立了包含三个一级方针,三十一个二级规章的信息安全管理策略体系。通过信息安全管理策略体系的建立、北京奥运会期间的整改措施以及1S02700I外审督促,国航的管理体系评测水平不断提升,其中体系评价范围从运行维护中心到全信息管理部,IS027001中要求的十一个领域都有大幅提高。
在技术平台建设方面,国航针对一些紧迫性问题做了针对性的部署。比如网络安全架构不清晰、来自互联网的威胁日益增加、防护能力偏弱、用户行为控制存在漏洞、系统服务器安全性不足等问题,国航不但划分了安全领域,还部署了防DOS攻击、入侵检测、入侵防御等设备,另外,在重点用户单位引入终端安全管理,利用弱点扫描工具发现系统漏洞等技术措施,配合各项管理措施,很好地完成了北京奥运信息安全保障工作。
在信息安全管理体系建立过程中,国航还特别成立了公司级的信息安全管理委员会,落实了信息安全管控中心职能,借鉴国际最佳实践的功能划分,采用两级管控机制,在对组织机构不做大调整的情况下落实了安全管理责任。
国航ISO27001信息安全管理体系策略文件于2008年底正式,并组织了近200人次的信息安全培训,采用自评结合复核为主的审查方式定期对体系文件的贯彻和执行情况进行了解。通过内部认证培训,培养了专兼职质量安全员34人,以承担未来各部门的安全内审职责。
纳入安全运行标准体系
正如国航副总裁贺利所说,通过ISO27001国际认证,并不代表国航的信息安全工作已经做到位,而是意味着信息安全工作开始起步,后面需要完善的工作还有很多。
因此接下来,国航首先将不断对现有管理体系的操作细则进行完善,进一步细化信息安全管理域成熟等级评价机制,在IBM公司提出的四级评价基础上,针对国航实际情况再进行细分,持续强化规章的定期评审机制,同时要求所有部分在编写自身业务指导书时落实信息安全规章。
另外,信息管理郝还将和国航相关部门一起建立基于岗位信息资源的管控机制。以后国航每一个岗位上的工作人员,可以访问什么样的内容,能够访问多大的资源,都和岗位密切结合起来,这样就能使信息安全的控制预先做好相应的防控。
在技术平台方面,国航将依照既定的信息安全建设规划,在未来三年内,分步在用户身份与信任凭证管理、访问控制、信息流控制、完整性保护、安全监控与审计五大安全服务领域增加功能组件,建立起符合国航的、完整的信息安全技术平台。
篇4
【关键词】金融信息 安全风险 对策
一、引言
信息安全建设应综合考虑,信息在获取过程中要考虑其的完整性、可用性等,我们要尽量的全方位考虑,将设计信息系统的安全方策略做到最好。随着网络建设的覆盖、网络安全基础设施的建立,数据的大集中已进入发展阶段,其中数据大集中成为我国金融业信息化工程的重点,方便的经营管理能有效控制外部安全风险,增强了规模化程序化效益,但同时也带来了风险。金融业的办公自动化和信息数据中心规模数据的不断扩张,这种聚集的风险会更加突出,数据控制中心一旦受到攻击,计算机将立即终止服务,同时引起与之相关联的一系列的金融服务业务暂停或瘫痪,最终将因数据的丢失而引起多起法律纠纷,这必然也会造成社会的不和谐。随着我国信息技术的快速发展,会有越来越多的安全技术问题随之而来,电脑系统的入侵与反入侵的攻击也将会变得复杂并且频繁上演。所以,金融业对网络体系实施安全保障防护的要求也就刻不容缓了。因此,要保证金融机构的信息系统平稳运行及各项业务的持续展开,必须建立一套金融信息安全保障体系,统一金融信息安全问题处理规范和流程,是有效防范和化解安全风险,以及增强金融系统的信息安全整体防范体系的关键。
二、金融信息安全的现状
由于信息技术在金融系统的广泛应用,金融业务都是以信息技术为支撑,各金融系统同中央银行、国家相关部门实现了网络联接,从而,信息安全的重要性凸现,信息安全不仅关系到金融安全,甚至关系到社会稳定和国家安全。但金融系统在建设初期“重建设,轻管理”,信息安全管理相对滞后,管理机制、管理制度、人员配备、技术手段等都同信息安全管理的要求有一定差距,致使信息安全面临的风险越来越呈现复杂性:既有环境风险、设备风险、技术风险、操作风险、人员风险,又有遭受恶意攻击和失泄密的风险,而国家有关信息安全管理的制度缺失,人民银行等监管部门在对金融系统信息安全管理方面的监管中,缺乏相关的制度规定、法律规定,相关工作的开展受到一定的影响,急需完善金融信息安全制度,加强金融系统信息安全管理工作。
三、提升金融信息安全综合保障能力的对策
努力构建金融信息安全保障体系,金融信息综合安全防护的抵抗能力要增强,这一项庞大而复杂的系统工程,信息安全防线的构成是多层次多角度的,需要有正确的信息安全意识,科学投资,抓好硬件设施建设,但也决不能靠几件安全性能的硬件就解决、放心。还需要有完善的可行性制度。因此,要加强安全管理的科学性和制度化,总结成八个字:“三分技术,七分管理”,应用这个道理,从我国金融业法制、技术、管理、人员等几方面齐步共进,来完善我国金融信息建设。
(一)树立正确的信息安全意识
信息的价值就在于它的独占性、排他性,并保证其安全性,信息安全是继领土、政治和经济之后的另一。国家只有建立保护好信息安全产业的屏障,开发具有自主知识产权的技术和产品,拥有自己的,才能在世界经济中占主动地位,进而也就避免了我国企业目前的常常被国外公司侵犯其专利权的窘境和落后的危险。
对待信息安全问题,要本着客观、公正、科学的态度,既要认识到信息安全保障系统确确实实存在安全漏洞,又要客观对待系统漏洞的状态,针对现状和有限的条件,及时对漏洞加以修补,要正视信息安全保障系统带来的利与弊。要构建一个绝对安全的完善系统是不可能的,因为在任何时候安全都是相对的,系统的开放性与方便性和系统的安全性与保密性始终是一对矛盾,因此,我们要做的就是建立一个不断完善的补充机制,来强化信息安全的屏障作用,在危机时刻数秒钟能及时更正,恢复这样的认识即可。
(二)科学均衡投资,努力抓好金融信息安全的建设
为确保信息系统的安全,硬件的投入是必要的,但仔细分析我国金融业在信息技术方面的投入发现,在投入方向上重硬件、轻软件,信息系统的建设要远远高于信息安全方面的建设,即所谓的“重业务发展,轻安全管理”。 然而,金融业的数据就是金融机构的生命,随着对计算机系统的依赖性与日俱增,就意味着金融机构的核心竞争力——金融业,是社会核心的集聚敏感的部门。从金融机构的运营角度来讲,安全性一直都是重中之重,安全建设是各金融机构应该时刻重视而且必须做好的工作。要做到未雨绸缪,安全防范,实施稳妥。因此,金融业在对待信息技术的投入方面,应高度重视信息安全,积极推进系统建设,在业务系统建设的同时,同步推进信息安全建设,做到科学投资,确保安全。
(三)构建信息安全技术保障体系
就目前的情况看,我国信息技术安全屏障防止各类复杂的信息系统攻击能力不是很好,尚不具备抵抗外界破坏的后备程序或者说应急机制,可以说我国的信息技术安全保障尚未建立成体系,应加强信息安全技术的投入和产品的研究、开发与应用,建立信息安全程序增进研发、产品跟踪反应及应用的完好优质的循环体系,要有自主知识产权的技术和产品,要从监控、系统、设备、硬件、软件等各方面,从信息流转的各个环节,和个人用户、金融机构、金融行业、国家等不同层面上,建立一个高效安全的金融信息网络通道的安全信息保障体系。
篇5
为加强证券期货业信息安全保障工作的组织协调,建立健全信息安全管理制度和运行机制,切实提高行业信息安全保障工作水平,根据中国证券监督管理委员会颁布的《证券期货业信息安全保障管理暂行办法》,制定《证券期货业信息安全保障管理体系框架》。
在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
参照 ISO/IEC 27001:2005中提出的证券期货业信息安全保障管理模型(简称模型),采用立方体架构。顶面是信息安全保障的7个目标(机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性),正面是行业组织结构,侧面是各个机构为实现信息安全保障目标所采取的措施和方式(组织、管理及技术体系)。
本管理体系框架遵循如下基本原则:责任制原则,依据“谁主管,谁负责”、“谁运营,谁负责”的基本原则,明确行业内各主体单位信息安全保障的管理责任;系统性原则,以动态保障的安全观为指导,体现安全与发展并进、管理与技术并重、长效机制与应急防御相结合的综合保障体系;适用性原则,在保障安全的前提下,兼顾不同主体单位的差别,强制满足最低标准,充分保留发展空间。
信息安全目标
证券期货业信息安全保障管理体系的目标是保障网络与信息系统的机密性、完整性、可用性、真实性、可审计性、抗抵赖性、可靠性。机密性是数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性是保证信息及信息系统不会被非授权更改或破坏的特性,包括数据完整性和系统完整性。可用性是数据或资源的特性,被授权实体按要求能访问和使用数据或资源。真实性即信息接收者能够通过有效的手段来识别信息是否是声称者所发送。可审计性即每个经授权用户的活动都是唯一标识和监控的,以便对其所做的操作内容进行审计和跟踪。抗抵赖性即保证发送信息的行为人不能否认自己的行为,使发送行为具有可信度。可靠性即保证合法用户对信息能够进行读取和修改,防止非法用户对信息进行恶意篡改和破坏。
行业组织结构
证券期货业安全保障管理组织结构采用 “统一组织、分层管理、交叉协调”的管理结构,划分为三层:决策层、管理层、执行层。
决策层
决策层由证券期货业网络与信息安全保障协调小组(以下简称协调小组)构成,协调小组由中国证券监督管理委员会及“5(交易所)+1(登记结算公司)+2(行业协会)”组成,是证券期货行业信息安全的最高决策机构,以建立安全的信息系统、保障投资者利益为目标,制定框架性的信息系统安全指导方针,明确信息安全保障工作的基本方向和主要内容,颁布信息安全保障工作的行业条例与规定。
协调小组还将根据证券期货行业信息系统发展趋势和信息安全发展趋势,定期对指导方针做出调整,研究和分析信息安全建设对证券期货行业发展的价值和影响,确定信息安全保障工作的发展方向和基本工作节奏。审定并颁布行业信息安全保障工作的规定和制度,协调行业内部及外部资源,具体包括,信息安全保障工作指导方针、信息安全保障工作管理体系、信息安全保障工作管理流程、信息安全保障工作监督规定。审定并颁布信息安全保障工作的监督机制,并颁布相关监督制度和管理流程。
管理层
管理层由行业主管职能部门、行业自律组织和行业相关的管理与促进机构构成。行业主管职能部门包括中国证监会信息安全管理职能部门及其派出机构(各地的证监局、证管办),行业自律组织包括中国证券业协会、中国期货业协会、技术标准委员会,相关的管理与促进机构成员包括证券交易所(上海证券交易所、深圳证券交易所)、期货交易所(上海期货交易所、郑州商品交易所、大连商品交易所)、登记结算公司。
行业主管职能部门负责起草并报批行业信息安全保障工作的规章和制度,协调专家顾问、行业成员等各方面的资源,对协调小组颁发的信息安全指导方针做技术与标准的支持,为其他成员执行指导性方针提供支持,并及时了解业务发展对信息安全的新需求,反映给协调小组,并根据证监会的信息安全保障工作相关规定,提出技术标准与实施细则。协调专家、顾问和行业标杆企业为各个安全主体进行信息安全保障工作的咨询。
行业自律组织针对行业特性制订信息安全保障相关自律性公约、标准、规范与指引等,并要求其会员单位严格遵守自律公约,并对违反公约的行为进行处理。相关的管理与促进机构作为市场网络与信息系统的核心,其信息系统运行状态很大程度上依赖于会员单位的信息安全级别,应对其会员单位进行严格要求,依据行业信息安全保障管理相关管理规范,制定相应的管理细则和技术标准,督促其会员单位落实,并对安全边界进行严格管理。
执行层
执行层指市场各个参与主体,包括交易所、登记结算公司、通信公司、证券公司、期货公司、基金管理公司、投资咨询机构等。
安全保障领导小组是各主体单位信息安全最高领导机构,对协调小组关于信息安全建设的指导方针进行目标分解,结合本单位业务发展需求及信息系统现状制定具体的信息安全建设策略、计划、流程,并授权执行机构进行信息系统安全建设与运维。主要工作内容包括制定符合监管机构规定的信息安全保障方针政策,根据企业自身信息安全保障工作的方针政策建立信息安全保障工作的策略体系,监督并指导企业自身的信息安全组织、管理、技术体系建设。
安全保障工作小组是各主体单位执行信息安全保障的具体机构,根据安全保障领导小组制定的信息安全建设策略、计划、流程执行信息安全保障工作。主体单位对自身信息安全现状的评估,建设信息安全组织、管理、技术体系,完善信息安全组织、管理、技术体系,对出现的安全事件进行处理。
在组织体系上,决策层进行法规颁布,对管理层和执行层进行工作指导,管理层对决策层制定的相关法规进行细化,执行层根据行业规则进行信息安全保障体系建设,并将组织信息上报管理层和决策层。在管理体系上,决策层对管理层进行监督管理,管理层对执行层进行评估检查,执行层将信息进行上报给决策层和管理层。在技术体系上,由执行层将技术实现方案和实施结果上报给管理层,管理层对成功经验在执行层进行推广。
信息安全保障实现方式
篇6
关键词:民航 信息网络 系统安
一、民航信息网络系统安全问题分析
近年来,随着我国经济水平的不断提升,大幅度推动民航领域的发展,在这一背景下,民航的信息网络系统随之进入建设高峰期,该系统除与飞机的飞行安全有关之外,还与空防和运行安全有着极为密切的关联,一旦系统出现问题,轻则会影响民航的正常运营,严重时将会危及到飞机的飞行安全,极有可能造成巨大的经济损失。如某机场的空管飞行数据处理系统发生故障,致使机场的空管雷达无法提供正常的数据,直接导致70余架航班不能按时起落降,数千名乘客的出行受到影响;又如,某航空公司的电子客票系统被黑客入侵,导致多名乘客的机票信息泄露,媒体报道后,造成严重的社会影响,诸如此类事件不胜枚举。
通过对国内一些航空公司进行调查后发现,绝大部分都曾经发生过信息网络安全事件,在诱发安全事件的原因中,计算机病毒、木马、电脑蠕虫等所占的比例较大,约为70-80%左右,网页被恶意篡改、端口扫描等网络攻击约为20-30%左右。上述安全事件之所以会频繁发生,主要是因为民航信息网络系统的安全防护水平不高,给恶意入侵、黑客攻击提供了可能。鉴于此,必须从管理和技术两个方面着手,加强民航信息网络安全建设。
二、民航信息网络安全建设策略
为确保民航信息网络系统安全,必须建立起一套科学合理、切实可行的安全管理制度,并采取先进的技术措施,提高系统的安全等级。
(一)加强安全管理
1.构建完善的制度体系。民航信息网络系统的安全离不开管理,而想要使管理发挥出应有的成效,就必须构建起一套较为完整的制度体系。各大航空公司应当结合自身的实际情况,并总结以往的经验教训,量身定制安全计划和方案,如网络信息安全等级保护与分级保护、安全通报制度等等,确保所有的安全管理工作都能有制度可依。与此同时,还应不断加强对相关人员的管理,提高他们的安全意识,从根本上保证信息网络系统的安全性。
2.做好管理维护工作。民航信息网络系统是由诸多设备组成,想要保证系统的安全,就必须做好运行设备的维护管理。鉴于民航信息网络系统的特点,即启动后不能随意关闭,因此,可从如下几个方面保证系统安全、稳定运行:①控制主机温度。可在信息网络系统建设时,为相关的硬件设施配备一套双机热备加磁盘阵列,这样能够确保网络信息系统的安全性,同时可以选用小型机作为民航运营数据库或是离港系统的服务器,该服务器采用的是分布式架构,其能够在确保安全的基础上,提高系统的可用性。②定期检查。民航信息网络系统中,有一些软件的可靠性相对较低,若是大量用户同时上线可能会导致系统死机的问题发生,通过定期的检查,能及时发现问题,并进行升级维护,由此不但能够提高系统运行效率,而且还能确保\行安全。
(二)安全技术措施
民航在进行信息网络系统安全建设的过程中,要采取合理可行的技术措施,为信息网络系统的安全保驾护航。
1.入侵检测技术。该技术是近年来兴起的一种网络信息安全防范技术,其能够通过对网络信息系统的审计数据、安全日志等进行检测,找出入侵以及入侵企图,这种技术最为主要的作用是对网络信息系统的入侵和攻击进行监控,进而采取相应的措施加以应对,从而确保系统的安全。民航可基于该技术构建一套相对完善的IDS系统,运用该系统对外部的非法入侵以及内部用户的非授权行为进行检测,发现并报告网络信息系统中的异常现象,对针对信息网络系统安全的行为做出及时有效地应对。
2.身份认证技术。该技术具体是对系统操作者身份的确认,其能够借助网络防火墙、安全网关等,对信息网络系统的用户身份权限进行管理,民航的信息网络系统一般只能对操作者的数字身份信息进行识别,而通过身份认证技术的应用,则可有效解决系统操作者物理与数字身份的对应问题,由此为系统的权限管理提供了可靠依据。民航在进行信息网络系统建设时,可以采用以下几种方式对系统操作者的身份进行认证:用户名+密码;用户基本信息验证,如证件号码、信用卡号等;特征识别,如视网膜、指纹、声音等。此外,还可以采用USB key,这样可以进一步提升系统的安全性能。
3.加密与数字签名。这是目前保障网络信息系统及数据安全最为常用的一种技术,它能够有效防止各种机密数据被外部窃取、更改,对于信息安全具有极强的保证。具体应用时,可对一些重要的文件进行加密,这样即便有非法用户入侵到系统当中也无法查看加密文件的内容,加密后等于给文件上锁,其安全性自然会获得保证。而数字签名则可确保用户收到的邮件均为所需用户发送而来,可有效防止垃圾邮件。民航在信息网络系统安全建设时,可合理运用加密和数字签名技术,为各类重要信息提供安全保障。
4.网路防火墙。民航在进行信息网络安全建设时,应当选用高端的防火墙产品,除要具备防火墙的基本功能之外,还应兼具VPN网关功能,建议采用分组过滤式防火墙或是双穴网关防火墙,同时要考虑不同接入方式的适应性。需要注意的是,防火墙要选用正版的,并定期进行升级,这样才能使其作用得以最大限度地发挥。
三、结语
综上所述,民航信息网络安全的重要性不言而喻,因此,必须做好信息网络系统的安全建设工作,民航企业可以结合自身的实际情况,制定科学的管理制度,并采取先进的技术措施,提高系统的安全性,这样不但能减少或是杜绝各类安全事件的发生,而且还有利于促进我国民航事业的持续发展。
参考文献:
[1]余焰,余凯.以空管信息为核心,建立民航信息集成共享系统空管系统信息网络建设需求分析[J].黑龙江科技信息,2015,(04).
[2]梁有程.分组交换技术在民航数据通信网络中的应用探析[J].电信网技术,2015,(07).
[3]赵航.以安全保障为前提的民航空管信息系统安全体系的研究[J].科技经济市场,2014,(07).
篇7
[关键词]油田;网络信息;安全体系
doi:10.3969/j.issn.1673 - 0194.2016.06.043
[中图分类号]TP393.08 [文献标识码]A [文章编号]1673-0194(2016)06-00-01
近年来,中国的石油企业得到了飞速发展,石油企业的逐年增加,推动了经济的快速发展,但随着经济全球化步伐的加快,中国的石油企业也面临风险与挑战。尤其是在油田信息安全管理方面存在诸多问题。因此,加强网络信息安全建设、提高安全管理水平,成为石油企业的当务之急。
1 油田安全环保管理存在的问题
1.1 油田网络信息安全意识薄弱
大多数油田企业管理人员对安全环保不甚了解,造成网络信息安全管理不受重视。针对油田施工中存在的问题,虽然油田企业管理人员也会向施工单位提出,但是却“虎头蛇尾”,不关心问题解决的后来走向,如果施工单位实际上没有解决问题,就会造成很大的隐患。此外,一些企业缺乏对员工培训的重视,仅仅通过宣传教育向员工输送网络信息安全知识,员工对安全环保工作仍然一知半解,更不用说将网络信息安全管理意识应用于实际工作中。长久下去,员工的工作积极性与工作热情难以调动,工作效率与质量得不到提高,企业更加难以实现长久稳定的发展。
1.2 安全隐患众多
第一,一些油田企业为降低成本,不愿意更换设备,让设备处于长时间的超负荷运转中,造成使用寿命大大减少,这些都是安全隐患的组成因素;第二,油田开采中会产生较多的报废井,并且会随年限逐渐增多,对于长停井、位于环境敏感区的报废井等,油田企业缺乏重视,没有投入足够的资金进行治理或者没有封井,导致安全隐患的产生。另外,石油企业作为密集型企业,设备众多、种类复杂、更新换代快。在专用的设备和运输设备上,投入的资金比重较大。但是由于企业的特殊性,设备资金的投入是非常必要的。此外,设备具有维修难度大,维修成本高的特点,在石油设备的经济管理上,很难做到全面管理。油田安全隐患得不到解决,建设质量不佳,更加体现了网络信息安全体系建设的重要性。
2 改革油田网络信息安全体系的措施
2.1 建立专门的网络信息管理组织
对于石油企业网络信息安全体系的改革,首先,要改变以往的以部门为单位的建设组织,将任务更加细致地分配下去,落实到每一个人。对网络信息体系进行重新的定位划分,提高信息安全体系管理的效率与质量。其次,依据相关人员的能力与技术的特点,明确网络安全体系建设部门的责任,做到权责明确、权责对等。建立专门网络信息管理组织,在细微之处体现和谐发展观的理念,调动工作人员的积极性与热情,将石油开采、勘探、设备管理等方面工作完成得更加顺利、出色,促进中国石油企业不断进步与发展。
2.2 完善油田网络安全体制
油田网络安全体制包括设备采购管理制度、设备运行制度、设备维护制度、运作成本审查制度等,只有建立完善的石油企业网络信息安全体制,完善管理系统,才能在日常的油田勘探工作中,真正将网络信息安全体系建设落到实处。完善的油田网络安全体制可以提高石油企业的经济效益,提高中国石油企业管理水平,同时为中国石油企业的发展打下坚实基础。一个良好的石油网络安全体系,是石油企业长效发展的关键之处,更是推动中国石油发展事业的动力。
2.3 提高油田建设人员素质
建立专门的石油网络信息安全体系,完善设备管理制度,最终还要提高相关建设人员的自身素质。在油田网络信息安全体系建设的过程中,将任务落实到每一个人,提高其管理水平,才能保证设备管理工作的正常开展。要提高油田建设人员的素质,就要做好以下几点:首先,加强相关管理培训,一个合格的企业需要定期为员工进行相关的网络安全管理培训,在宣传与教育中,提高每个员工的实际操作能力;其次,建立奖励机制,对于一些表现出色的员工进行奖励,激发员工之间的竞争意识,提高石油网络安全建设人员工作的积极性与热情。
3 结 语
随着社会经济的变化与发展,石油企业更应重视油田网络信息安全体系的建设,在细微之处,将油田网络信息安全管理落实到实处。从一点一滴做起,践行“以人为本”的思想,以促进石油企业不断发展与进步。
主要参考文献
[1]刘锋.吐哈油田企业信息化模型与方法研究[D].北京:中国地质大学,2013.
篇8
为了贯彻国家对信息系统安全保障工作的要求以及等级化保护坚持“积极防御、综合防范”的方针,需要全面提高信息安全防护能力。贵州广电网络信息系统建设需要进行整体安全体系规划设计,全面提高信息安全防护能力,创建安全健康的网络环境,保护国家利益,促进贵州广电网络信息化的深入发展。
1安全规划的目标和思路
贵州广电网络目前运营并管理着两张网络:办公网与业务网;其中办公网主要用于贵州广电网络各部门在线办公,重要的办公系统为OA系统、邮件系统等;业务网主要提供贵州广电网络各业务部门业务平台,其中核心业务系统为BOSS系统、互动点播系统、安全播出系统、内容集成平台以及宽带系统等。
基于对贵州广电网络信息系统的理解和国家信息安全等级保护制度的认识,我们认为,信息安全体系是贵州广电网络信息系统建设的重要组成部分,是贵州广电网络业务开展的重要安全屏障,它是一个包含贵州广电网络实体、网络、系统、应用和管理等五个层面,包括保护、检测、响应、恢复四个方面,通过技术保障和管理制度建立起来的可靠有效的安全体系。
1.1设计目标
贵州广电网络就安全域划分已经进行的初步规划,在安全域整改中初见成效,然而,安全系统建设不仅需要建立重要资源的安全边界,而且需要明确边界上的安全策略,提高对核心信息资源的保护意识。贵州广电网络相关安全管理体系的建设还略显薄弱,管理细则文件亟需补充,安全管理人员亟需培训。因此,本次规划重点在于对安全管理体系以及目前的各个业务系统进行了全面梳理,针对业务系统中安全措施进行了重点分析,综合贵州广电网络未来业务发展的方向,进行未来五年的信息安全建设规划。
1.2设计原则
1.2.1合规性原则
安全设计要符合国家有关标准、法规要求,符合广电总局对信息安全系统的等级保护技术与管理要求。良好的信息安全保障体系必然是分为不同等级的,包括对信息数据保密程度分级,对用户操作权限分级,对网络安全程度分级(安全子网和安全区域),对系统实现结构的分级(应用层、网络层、链路层等),从而针对不同级别的安全对象,提供全面、可选的安全技术和安全体制,以满足贵州广电网络业务网、办公网系统中不同层次的各种实际安全需求。
1.2.2技管结合原则
信息安全保障体系是一个复杂的系统工程,涉及人、技术、操作等要素,单靠技术或单靠管理都不可能实现。因此,必须将各种安全技术与运行管理机制、人员思想教育与技术培训、安全规章制度建设相结合。
1.2.3实用原则
安全是为了保障业务的正常运行,不能为了安全而妨碍业务,同时设计的安全措施要可以落地实现。
1.3设计依据
1.3.1“原则”符合法规要求
依据《中华人民共和国计算机信息系统安全保护条例K国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[20〇3]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法》(公通字[2007]43号)和GB/T22240-2009《信息安全技术信息系统安全等级保护定级指南》、GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》、《广播电视安全播出管理规定》(广电总局62号令)、GDJ038-CATV|有线网络。
2011《广播电视播出相关信息系统等级保护基本要求》,对贵州省广播电视相关信息系统安全建设进行规划。
1.3.2“策略”符合风险管理
风险管理是基于“资产-价值-漏洞-风险-保障措施”的思想进行保障的。风险评估与管理的理论与方法已经成为国际信息安全的标准。
风险管理是静态的防护策略,是在对方攻击之前的自我巩固的过程。风险分析的核心是发现信息系统的漏洞,包括技术上的、管理上的,分析面临的威胁,从而确定防护需求,设计防护的措施,具体的措施是打补丁,还是调整管理流程,或者是增加、增强某种安全措施,要根据用户对风险的可接受程度,这样就可以与安全建设的成本之间做一个平衡。
1.3.3“措施”符合P2DR模型
美国ISS公司(IntemetSecuritySystem,INC)设计开发的P2DR模型包括安全策略(Policy)、检测(Detection)、防护(Protection)和响应(Response)四个主要部分,是一个可以随着网络安全环境的变化而变化的、动态的安全防御系统。安全策略是整个P2DR模型的中枢,根据风险分析产生的安全策略描述了系统中哪些资源要得到保护,以及如何实现对它们的保护等,策略是模型的核心,所有的防护、检测和响应都是依据安全策略实施的。
检测(Detection)、防护(Protection)和响应(Response)三个部分又构成一个变化的、动态的安全防御体系。P2DR模型是在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、身份认证、加密等)的同时,利用检测工具(如漏洞评估、入侵检测等)了解和评估系统的安全状态,通过适当的反应将系统调整至“最安全”和“风险最低”的状态,在安全策略的指导下保证信息系统的安全[3]。
1.4安全规划体系架构
在进行了规划“原则”、“策略”、“措施”探讨的基础上,我们设计贵州广电网络的安全保障体系架构为“一个中心、两种手段”。
“一个中心”,以安全管理中心为核心,构建安全计算环境、安全区域边界和安全通信网络,确保业务系统能够在安全管理中心的统一管控下运行,不会进入任何非预期状态,从而防止用户的非授权访问和越权访问,确保业务系统的安全。
“两种手段”,是安全技术与安全管理两种手段,其中安全技术手段是安全保障的基础,安全管理手段是安全技术手段真正发挥效益的关键,管理措施的正确实施同时需要有技术手段来监管和验证,两者相辅相成,缺一不可。
2安全保陳方案规划
2.1总体设计
贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:
边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。
行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。
安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。
公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。
IT基础设施:提供智能化、弹能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。
2.2安全域划分
划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。
Z3边界防护体系规划
边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。
2.3.1边界措施选择
在边界上我们建议四种安全措施:
1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对黑客入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。
3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。
4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。
2.3.2策略更新管理
边界是提高入侵者的攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。
2.4行为审计体系规划
行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。
行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。
2.5安全监控体系规划
监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:
1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。
2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。
3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。
安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统
作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:
1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。
2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。
3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。
2.7IT基础设施规划
IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。
IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。
3安全筐理体系规划
在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。
3_1安全管理标准依据
以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。
3.2安全管理体系的建设目标
通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。
3.3安全管理建设指导思想
各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”
3.4安全管理体系的建设具体内容
GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。
贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。
通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。
3.5曰常安全运维3.5.1安全风险评估
安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。
3.5.2网络管理与安全管理
网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。
3.5.3备份与容灾管理
贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。
3.5.4应急响应计划
通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失
3.6安全人员管理
信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。
安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。
其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理
主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。
4安全规划分期建设路线
信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。
4.1主要的工作内容
根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:
1.网络优化改造:主要是安全域的划分,网络结构的改造。
2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。
3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。
4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。
4.2分期建设规划
4_2.1达标阶段(2015-2017)
1.等保建设
2.信任体系:网络审计、运维审计、日志审计
3.身份鉴别(一次口令)
4.监控平台:入侵检测、流量监测、木马监测
5.安全管理平台建设
6.等保测评通过(2级3级系统)
7.安全服务:建立定期模式
8.渗透性测试服务(外部+内部)
9.安全加固服务,建立服务器安全底线
10.信息安全管理
11.落实安全管理细则文件制定
12.落实安全运维与应急处理流程
13.完善IT服务流程,建设安全运维管理平台
14.定期安全演练与培训
4.2.2持续改进阶段(2018〜2019)
1.等保建设
2.完善信息安全防护体系
3.提升整体防护能力
4.深度安全服务
5.有针对性安全演练,协调改进管理与技术措施
6.源代码安全审计服务(新上线业务)
7.信息安全管理
8.持续改进运维与应急流程与制度,提高应急反应能力
9.提高运维效率,开拓运维增值模式
5结東语
篇9
关键词:信息安全;档案;因素;对策近年来,信息技术的运用
在高校档案管理中发挥日益显著的作用,打破了传统纸质档案的管理模式,由档案实体管理向数字化管理模式转变,这一创新举措大大提高了档案资源开发和利用的效率,但数字化管理中的安全问题亦不容忽视,只有不断强化数字化档案的安全管理,建立健全档案安全工作保障体系,才能真正确保数字化档案的安全。
1问题及影响因素
首先,高校数字化档案信息安全管理缺少顶层设计。目前安徽省高校档案管理软件多种类型并存,彼此孤立,有网络版的也有单机版的,横向之间不联,上下之间不通,各自为政,追求小而全,未能形成网络大平台上的协调沟通运行机制,既影响了网络功能的发挥,又造成了重复建设,浪费了人力、物力。其根本原因在于顶层设计滞后,缺乏统一的功能和具体执行标准。其次,档案信息安全管理制度不完善。按照国家保密局《涉及国家秘密的信息系统审批管理规定》,现在大部分高校信息利用安全无法保证。具体表现为:一是没有统一的利用平台,其利用环境的安全完全依赖于自身网络建设;二是局域网、政务网、公众网的内容界定不规范,在协调处理多方关系上存在着随意性;三是档案馆(室)在外包安全协议中没有明确注明保密的形式和内容,当事者所应承担的责任和义务,缺少相应的监管标准和奖惩措施,这些毋庸置疑将对档案信息利用安全造成威胁。然而,究其根本原因在于缺乏建立相配套的系统安全管理规章制度[1-2]。最后,对系统功能的安全监管不到位。据调查表明,目前我省高校大部分电子档案系统的权限设置,身份认证识别鉴定功能、CA认证以及数字签名等技术功能均达不到相关要求,随时可能发生文件丢失、泄密的危险。在信息采集、硬件防护等方面,相关技术部门之间未能及时有效地沟通与协调,管理措施的制定缺少系统性和科学性,如此等等[3-4],都是因缺乏严格的监存管机制,从而导致安全建设存在诸多隐患和漏洞。
2档案数字化安全管理应遵循的原则
责任规范原则。安全责任规范是档案信息系统规划、设计、实现、运行的必然要求,各档案馆(室)应根据安全标准化规定制定适合本单位的安全政策,不能无依据、无标准、随意开发、盲目设计、违规操作、无人监管,而应根据实际情况,具体问题具体分析,采用正确的安全功能和设备。预防原则。将预防为主的意识贯穿整个安全系统管理的全过程,包括规划、采购、安装、设计等各个环节。不同的地理条件、不同的人文环境,各馆(室)藏对安全设施的配备及安全功能的实现程度也迥异,应因地制宜,将安全防范意识摆在首位,加强薄弱环节的防护,最大限度地减少人为和自然灾难所造成的损失。实效原则。目标的制定和规划应与安全功能的实现程度相匹配,不应盲目追求高目标或投资过大的项目,要实事求是,使投入与需要的安全功能相适应,才能真正提高安全管理效率。分权制约原则。分散重要环节的管理权限,使其各部门之间的权利相互制约,避免全线崩溃,提高安全性。对数字化服务机构的相关资质、业绩、人员、设备和加工软件等进行考察,并了解是否存在违约行为、安全事故等不良记录。应急原则。安全防护要防患于未然。建立健全应急管理机制,开展各类突发事件应急演练,遇到突发事件及时采用应急预案,多方联动,采取积极有效的防护措施。灾难恢复原则。全盘优化灾难恢复策略,合理划分容灾等级,严格执行数据恢复流程并采取有效的技术恢复手段,保持原数据中心和备份中心数据的一致性。
3高校数字化档案信息安全管理的对策
3.1加强信息安全技术管理,提高信息化管理水平
设备层的安全管理。设备层的安全管理包含软硬件系统的管理,是档案信息安全管理的基础。硬件系统的安全又称为物理安全。由于应用软件自身存在弊端,使其很容易受到攻击,各种各样的防黑客技术、软件恢复技术以及安全操作系统的实现将是软件系统安全管理的重点。采用先进的病毒防范技术定期对服务器和客户端查毒、杀毒,对防毒软件适时升级,档案管理人员要依据病毒类型构建病毒防范机制,充分了解病毒知识,做好主动防范工作,增强杀毒的敏感性,以全面提高网络防范能力。网络层的安全管理。网络层的安全管理主要针对网络协议和结构及其所导致的安全问题应采取的安全措施。主要包括:网络安全告警,内部流量和活动模型分析,网络入侵恢复,网络结构数据保护,内部加密与密钥管理等。各个子网的出入口设备的安全管理是其管理的关键点,由于嵌入式操作系统作为网络安全管理的核心技术比通用的操作系统更易实现,因而不可避免地成为整个信息产业发展的重点之一。应用层的安全管理。采取数据加密等技术确保安全,使用签名芯片及时实现加密技术的有效应用。严格控制访问权限,通过设置口令、密钥、指纹、声音等方式进行身份鉴别和访问控制,并防止越权操作。对数字化设备、存储介质应进行安全保密技术处理,数字化加工设备不得外送维修,对系统中各种操作实现严格的监控并加以记录。做好日常的系统维护工作,确保数据的安全存储、转移和备份恢复。
3.2创新信息安全管理机制,全面提高防范意识
制度层的安全管理。强化制度建设,形成有效的安全管理机制,为信息安全建设提供制度保障。为确保数字化档案信息安全,高校档案馆(室)要建立健全各项安全管理制度和责任制度,在面临突发灾害时,紧急启动应急预案,形成联动机制,因地制宜,妥善处理影响档案安全的各类突发事件。对档案要强化监督和管理,认真进行档案密级鉴定,做好档案数字化的各项安全保密工作,对密级档案严格审核,做出是否变更或解除的决定,对控制知悉、使用范围的档案进行划控,密级档案以及控制知悉、使用范围的档案,须在安全保密的场所由其单位工作人员负责人加工处理;对特殊载体档案采取特殊保护,对珍贵、频繁利用的纸质档案优先保护、定期消毒。其次要制定数字化档案安全权利清单和责任清单,将数字化档案信息安全建设作为日常工作运行的重点,实行领导责任制,明确在信息安全建设中各个环节的责任程序和责任人,科学界定工作职责,完善安全隐患定期排查制度,规范细化档案数字化工作流程,强化对权利运行的制约和监督,严格按照任务清单要求,全面落实好安全主体责任,不断加大问责力度,建立健全安全问题通报制度,确保安全权利清单制度落地见效。不仅如此,高校档案馆(室)也应加强数字化加工场所和设备实施的安全监管。加工场所应设置在符合保密要求且相对独立的区域,安装视频监控系统、实施全程监控,严格核查出入人员身份,无关人员不得进入场所。工作人员不得在场所内吸烟、饮水、进食,严禁携带照相机、摄像机、手机等信息设备及其他与工作无关的物品入场,禁止以拍摄方式获取档案信息或携带实体档案及电子档案外出。用于档案数字化的设备系统必须与其他网络物理隔离,禁止安装使用无线网卡等具有无线互联功能的硬件和设备,对设备输入、输出接口进行封闭处理,并进行检查登记。此外,若采取数字化委托加工方式,应设有专人负责安全保密工作,无安全事故、泄密事件等违法记录。数字化加工单位应与受委托的专业公司签订保密协议,确保数字化加工场地的安全管理。以制度有效运行作保障,积极为档案信息安全铸造坚固的防护体系。组织层的安全管理。各高校要因地制宜,把数字化档案安全体系建设摆上议事日程,制定适合本学校的数字化档案信息安全建设规划和实施方案,将档案信息安全体系建设纳入单位(部门)年度考核、目标管理等工作的重要内容,加强日常的监督、检查和指导,定期听取档案安全工作汇报,研究部署年度工作计划,领导要亲自过问,在经费投入、技术保障、处室配合、人员使用等方面给予大力支持,各高校档案(馆)室要加快建立数字化档案信息安全领导小组,充分调动专职档案人员工作的主动性和积极性,并根据学校机构设置和人员变动情况,适时调整充实领导组成员,明确各部门分管档案信息安全工作的领导,逐步细化完善档案信息安全工作岗位职责,做到档案信息安全工作人员职责清晰、分工明确,确保档案安全工作顺利有序开展。
3.3加大人才培养力度,打造复合型数字化安全管理专业人才
高校档案馆(室)要加大数字化档案信息安全专业技术人才的培养力度,积极开展档案信息化知识技能培训和数字化安全岗前教育培训。制定科学合理的人才规划,数字化档案安全的核心在于人,人是保证数字化档案安全的关键,一切安全技术的实施都离不开专业技术人员,努力建设一支素质优良,结构合理,队伍稳定,既通晓档案网络技术知识又能熟练掌握安全管理技能的综合型人才,不断探索培养优秀档案信息化人才的新途径。
3.4加快法律法规体系建设进程,营造良好的依法治档环境和氛围
建立健全数字化档案安全法律法规,真正落实依法治档。档案管理人员要严格遵守档案安全法规和保密规定,采取综合防范策略,建立科学合理的操作规范,积极防御,不断提升防护水平,净化网络安全环境。加大安全执法力度,严加惩处盗取、篡改信息的机构和个人,并依法追究相关责任。重视安全法律法规宣传工作,利用校园网,宣传安全知识以及学校关于档案安全工作的规章制度。通过档案网站,及时国家颁布实施的档案安全法律法规,认真学习并贯彻落实上级档案主管部门关于档案安全管理的文件精神,让广大师生不断强化安全和保护意识,充分认识学校档案安全工作的重要性。
4结论
高校数字化档案信息的安全管理是一项漫长而艰巨的任务,涉及技术、法律、制度、意识、人员等方方面面,随着社会信息化的飞速发展和科技的日新月异,影响数字化档案信息安全的因素也日益繁多,高校档案安全工作将面临新的挑战,各高校档案馆(室)应高度重视,通力合作,使数字化档案信息的安全管理逐步迈上规范化、科学化的轨道,为档案的永久安全保管和历史文化的传承做出应有的贡献。
参考文献:
[1]种金成,何祖华.高校馆藏档案数字化实施方案及安全策略研究[J].黑龙江档案,2014(1):44-45.
[2]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):25-27.
[3]杨冬权.建立完善的档案安全体系确保档案安全[J].兰台世界,2010(6):1-2.
篇10
[关键词]油田;企业网;信息;安全
油田工业环境对于网络的依赖,一直都比常规的工业环境更为突出,诸多仪表数据的采集,决定了整个工业环境生产工作的安全开展,因此不容忽视。进入信息时代后,国内大中型企业大多都建成了完善的企业网络,油田企业也不例外。但是,油田企业利用网络进行工作,虽然提高了效率,但是一旦网络本身出现不稳定的情况,就会使整个油田工业环境陷入危险。因此,油田企业网的信息安全问题已成为关系到整个油田正常运行的重要因素。
1企业网和信息安全的内涵
要想实现油田企业网的安全运行,油田企业首先应当了解企业网和信息安全的内涵,才能实现相关工作的有效落实。企业网相对于局域网,是一个更为宽泛的概念,并且比较偏重于软件层面。局域网强调企业中区域环境内部的数据传输实现,当然在油田企业环境中,由于不同部门之间在地理位置上相对分散,因此局域网也会不拘泥于区域,更多采用在公共数字网上建立起数字通道的方式来实现。但是,局域网归更多是面向数据传输实现的,企业网则有所不同,更多是面向应用本身展开实现的,从层级上看,企业网位置高于局域网,是一种偏软件应用的网络系统;从功能上看,企业网络既承担着企业经营、生产、交流等任务,也全面优化了企业内部管理结构,丰富了企业员工利用企业网络学习、交流的途径。对于企业网而言,信息安全指的是在网络环境下,从软硬件以及应用等多个角度展开对于数据传输、读取、更改等方面的保护,使之不会因偶然、恶意等因素而发生更改、破坏、泄露等问题,影响到网络系统的稳定运行。从技术角度看,信息安全融合了包括计算机科学、网络技术、应用数学、信息安全、信息论、通信技术和密码技术等多项技术,成为综合性的边缘交叉领域。
2企业网的安全威胁来源
油田企业想要建立完善的安全体系,还应当对当前油田环境下的企业网面临的安全威胁有一个比较深入的了解。企业网的安全威胁,首先来源于网络设备自身的稳定特征。当前环境下,在数据传输链路中,光纤作为传输媒介,在近年来其质量有了极大提高,并且进一步带动了整个网络环境的稳定性,因此对于物理层面而言,数据传输的稳定性在很大程度上受到网络设备自身运行状况的影响。网络服务器、交换机、工作站和备用电源等,都会成为影响企业网安全的重要因素。除此以外,服务器的安全防御能力,以及对于异常端口、闲置端口等方面的管理,同样也应当纳入到安全管理的范围中。其次,安全威胁来源于协议的安全缺陷。网络协议是信息共享的关键与前提,并且决定着信息开放和共享的方式和程度,但协议本身也是相关人员或组织制定的,在发展的过程中不可避免地会出现不适应的特征,进一步会出现安全隐患。除此以外,基于协议的安全隐患通常都具有较大范围的杀伤力,很容易受到外界的恶意攻击。最后,网络环境中的访问控制,同样也是影响油田企业网安全的主要因素,并且考虑到油田企业网环境自身庞大、复杂的客观特征,这一方面的影响,相对于其他领域而言甚至更为严重。
3油田企业网的安全系统构建
对于油田企业网而言,其数据量要远远大过于常规企业,除了要提升工作效率之外,更为重要的是将油田工业环境中的海量数据整合到一个综合的网络环境中来,便于实现更为全面的监督和控制,也便于深入应用大数据等分析技术。而这样的网络环境,对于安全的要求,必然比常规的企业网要高很多。本文结合油田环境中的网络以及数据特征,可以考虑从如下几个方面,构建油田企业网的安全系统。
3.1加强设备领域安全建设
设备安全性是油田企业网信息安全的根基,除了在购置过程中合理选择品牌确保设备工作稳定性以外,油田企业还应着眼于设备本身的抗干扰特征,并重视在干扰环境之下设备所产生的误码率等属性。油田企业要把服务器的安全配置列为重点,从操作系统漏洞、端口安全以及服务信息安全三个方面重点展开。对于操作系统的漏洞而言,除了及时更新补丁以外,油田企业还应当考虑面向网络服务器及个人工作站的操作系统使用情况,有针对性地进行漏洞扫描和检测,并根据扫描结果作出科学、客观、全面的安全评估,从而进一步加强设备领域安全建设。同时,油田企业可以考虑在非系统分区上安装IIS服务器来提高设备的安全性,并且考虑选用NTFS文件系统提升整体安全水平。此外,服务端口号的修改同样意义重大,油田企业应当对部分服务器的网络服务端口进行修改,用来提升企业网络服务器的安全性,进而达到有效提升设备安全性的目的。
3.2加强访问控制管理
访问控制的管理,归根结底是一种管理,但是放在网络环境中,就是一种与技术相结合的管理体系。访问控制管理工作需要从人机环节着手,油田企业在加强网络系统访问控制安全建设的同时,也要加强工作人员的访问控制安全建设意识。同时,授权作为访问控制管理的重要内容,油田企业要重视当前信息环境中移动接入端的涌入,对于移动端的接入授权,一方面要实现便捷,另一个方面应当加强周期性的口令更新,并确保安全。此外,访问控制管理在信息系统边界内部,还表现为面向不同的数据进行不同的授权,并且油田企业要动态调整这种授权。
3.3加强数据识别
数据识别对于油田工业环境而言,价值重大。油田工业环境中的数据总量庞大,而企业网中的安全运算资源又相对有限,因此,油田企业要为最核心的数据提供最有效的安全保护。无论是加密算法还是访问方面的安全过滤,都需要一定的安全运算资源配合,这就必然需要数据识别。在实际工作过程中,油田企业应当注意油田工业环境中不同数据之间的差异。不同数据从产生到消亡的整个生命周期,都可以作为识别数据重要程度的依据,从这些细节中有针对性地进行安全过滤保护。这可以说是提升安全计算效率的重要手段。
4结语
油田环境下企业网络安全问题的意义重大,油田企业在实际工作中必须要深入分析,积极引入行业先进技术,识别油田数据自身的特征,有的放矢才能获得良好效果。
主要参考文献
[1]段莉屏.大数据背景下企业计算机网络安全问题分析及应对对策[J].现代工业经济和信息化,2016(3).
