企业信息安全规划范文

时间:2023-10-10 17:42:54

导语:如何才能写好一篇企业信息安全规划,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全规划

篇1

关键词:分布式;信息安全;规划;方案

中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案。

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证,信息安全组织的目标是:

1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;

2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;

3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:

1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);

2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:

1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;

2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。

其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。

主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。

在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:

1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:

1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。

2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。

3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。

4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。

5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献:

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.

[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.

[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].

[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].

[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.

篇2

【关键词】企业信息化;信息安全问题;原因;对策

【中图分类号】F270.7【文献标识码】A【文章编号】1006-4222(2016)01-0247-02

新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。

1企业信息化概述

所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。

2当前企业信息化建设中信息安全问题

企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。

3导致企业信息化建设中信息安全问题因素

企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。

4提升企业信息化建设中信息安全对策

针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。

5小结

总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。

参考文献

[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,2008,8,(1):43~45.

[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,2001,3:24~28.

[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014(06):132~133.

[4]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,2012(05):61~62.

篇3

【关键词】企业; 信息安全; 风险评估; 风险控制

引言:

计算机和网络通信相结合的信息技术,是促进当代社会信息化发展的主要力量,为社会上各行各业的发展创造了良好的环境。许多企业在经营与管理中已经引用现代信息技术,从而使经营与管理更为科学,工作效率更高,获得的经济效益也越多。然而现代信息技术是一把双刃剑,信息化的程度越高,由它带来的风险也越大。当前,企业的信息安全风险评估工作存在着一些问题,这些问题对企业的发展造成很多不利的影响。

一、企业信息安全风险概述

对企业来说,信息是维持企业正常运作的必要资源。企业的信息包括重要的数据、企业的发展规划、保密性文件、知识产权等。这些信息一旦被泄露,那么企业将面临着或大或小的经济损失,更严重的还会使企业面临破产的危险。所谓的企业信息安全就是指信息在其生命周期中,它的完整性、保密性和可用性这三个特性的保留情况。如果这三个特性都得到了保障,那么信息的安全性就高;如果其中的某个特性被破坏,那么信息的安全性就低。而信息安全风险就是指信息在特定的环境与特定的时间里可能遭遇的安全威胁。

信息安全风险可以分为可控性风险与不可控风险、可接受风险与不可接受风险、自然风险与人为风险等[1],这些风险给企业的信息安全管理工作带来了更多的不确定因素,加深了工作难度。

二、企业信息安全风险评估的现状与问题

当前,我国企业的信息安全风险评估工作存在着许多问题,给企业的日常经营与管理带来了许多不利的影响。

首先,企业没有树立正确的信息安全观。很多企业的管理者在信息安全问题上会走向两个极端,一种是认为只要加大信息建设的投入,信息就存在绝对安全的可能;另一种是忽视信息安全建设,信息安全风险意识淡薄。很多企业的管理层对信息资产的重要性认识不够,因而他们在保护信息安全方面几乎是无作为。

其次,企业在具体的信息安全风险评估工作中,表现出重安全技术而轻安全管理的思想与行为方式。这些企业在工作过程当中,不论是在心理还是在行为上都过分依赖安全技术,甚至认为只要安全技术过硬,信息安全就一定能够得到保证,为此,企业普遍采用现代通信技术、计算机和网络技术来构建企业信息安全系统。而在安全管理上,出现了管理措施不到位,员工在信息保密上不够严肃等问题,造成信息安全技术做无用功。

此外,企业信息安全风险评估工作还存在着管理制度不够完善、责任划分不够明确等问题。信息安全风险的评估工作需要收集各方面的大量的信息,如此才能增强评估的有效性。而企业由于管理制度不完善、职责划分不明确等问题,造成各部门的工作不配合、不协调。信息技术部门被孤立,信息安全的风险评估工作也就不能得到及时有效的完成。

最后,我国有些企业在信息安全风险评估的技术与方法上落后于时代。现代信息系统越往后发展,结构就越复杂。这要求企业要根据不断变化的信息技术来改进自己的风险管理理念和手段,同时也要吸收国际上的先进信息安全风险评估技术,保障自身的信息安全。

三、企业信息安全风险的控制

企业信息安全问题对企业来说是不应该被忽视的部分,企业应该在经营与管理的每个环节做好信息安全风险的控制工作,使企业的重要信息能够得到充分的保护。企业信息安全风险的控制可以从风险分析、管理控制、技术控制三个方面来进行。

(一)风险分析

在进行信息安全风险控制之前,先对风险进行分析可以使风险控制工作更加具有针对性,能够提高风险控制工作的效率。对风险的分析可以从信息资产面临的威胁、存在的弱点等方面来进行[2]。在风险分析工作中,要明确以下几点:首先是信息安全风险控制工作中需要保护哪些信息,这些信息具有什么样的价值;信息资产面临着哪些潜在的威胁,导致这些威胁产生的根源是什么,威胁发生的几率有多大;信息资产中是否具有漏洞,这些漏洞是否会被人威胁利用;信息资产发生威胁之后,企业会面临多大的损失;企业该采取什么样的措施来应对风险带来的损失,等等。

(二)管理控制

企业信息安全风险控制工作主要从组织管理、人员管理、政策实施等几个方面来进行。首先,企业应该建立信息安全组织机构,吸收组织成员,协调企业内部的各项资源,制定信息安全控制的目标并通过组织成员履行职责来达到目标。其次,企业要培养素质高、责任心强、原则性强,能够遵守企业政策的人员。企业信息安全风险的控制不仅与强大的技术力量有关,而且还有赖于执行人员对信息安全工作的支持与参与。此外,在政策实施上,企业要严格执行相关的信息安全保护政策,比如目前国际通用的《信息技术―信息安全管理实施细则》[1],为企业执行信息安全保护工作提供一个统一的标准,从而使工作能够有序地展开。

(三)技术控制

技术对信息安全控制的影响力是比较大的,它在很大程度上决定了信息安全风险的大小、范围,同时它也决定了修补信息安全漏洞的方式和方法。因此,在技术方面对信息安全风险进行控制是非常有必要的。首先,技术构架的设计应该遵循系统性原则、技术先进性原则、可控性原则、适度性原则等,使技术能够更好地服务于风险控制;其次,要做好安全域的信息安全保障工作,根据不同的安全域所面临的不同风险来进行信息安全保护工作;最后,要提高信息安全保障技术。目前而言,我国的信息安全保障技术与国际上的相比明显处于落后状态,因此,企业要引进先进的技术力量,加强信息安全风险的控制力度。

四、结语

在这个信息化高度发展的社会,任何企业与个人在享受信息化带来的便利的同时,也要承担信息化带来的风险。我国企业在激烈的市场竞争中,不可避免会遇到信息安全上的威胁。因此每个企业都应该做好信息安全的管控工作,认真、严肃地对待当前网络环境下的企业信息安全问题。

参考文献:

[1]谷田.网络环境下的企业信息安全问题研究[D].郑州大学2012

篇4

关键词:电信企业;信息安全;风险防控;管理体系;建设;研究

一、电信企业信息管理的现状与作用

(一)电信企业信息管理体系的现状

随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。

(二)企业信息安全管理的作用

信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。

二、电信企业信息管理建设的有效方法

(一)制定有效的信息管理计划

在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。

(二)电信企业信息管理建设的范围

对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。

(三)建立企业信息管理框架

对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。

三、结束语

综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。

参考文献:

[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014

[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016

篇5

关键词:绿色;通信网络;电力企业;信息安全

中图分类号:TN915.08

2014年的通信行业将仍延续之前的光明景气,但行业整体的利润规模缩小,可见利润的上升空间较大。眼下,4G牌照的发放正是得益于产业链发展如日中天的东风和政策性支持的充分肯定,使2013年的通信行业出现了新的经济增长点。基于此,可以预想,未来的通信行业及其相关行业的发展势头将一片大好。

1 通信网络与信息安全的关系

通信网络完全是国家信息安全建设的重要内容,所以电力企业信息安全与之有着密切联系。通信网络安全,就是将数据和信息被攻占的可能性降至最低,这些信息时电力企业的经济命脉,若是出现安全问题,将带来不可估量的经济损失。而通信网络在电力信息化建设过程中扮演着三大角色:不同性质计算机应用系统的信息网络公共平台的提供者;通信技术资源的开发、维护和管理者;与业务管理相关的计算机应用系统的开发、建设和使用者。

电力企业的正常运行和经营管理都离不开通信网络系统,它不仅承载企业内部的电力调度数据网络系统,而且承载着网络的互联网连接,确保其安全性是电力企业信息安全建设的重中之重,电力企业信息安全性在很大程度上决定着电力生产控制系统的安全性。所以,电力企业要加强绿色通信网络体系的构建,做好等级保护、风险评估以及安全备份等工作,全面提高通信网络安全的应急能力和风险规避能力,提高通信网络安全的管理水平,为电力企业的可持续发展奠定坚实技术基础。

2 构建绿色通信网络的必要性

目前,大部分企业依然采用普通网络进行信息互动,尽管也具有一定的安全性,但信息被盗的安全问题却时有发生,之所以会出现这种现象,主要是由于:计算机应用系统自身的开放性、互动性和共享性;新型计算机病毒的不断出现与传播;商用软件源代码的公开化问题;上述这三大方面对电力企业的信息安全造成了巨大威胁,所以必须要加以重视。电力企业必须通过构建绿色通信网络系统,将信息安全风险降至最低,为了实现这一目标,首先要做好构建完善安全机制和不断加强技术创新。

首先,构建立体化、层次化的安全管控体系。电力企业要想全面提高通信网络的技术安全水平,就要加强现有资源的优化整合,提高通信网络系统的自修复能力、应急能力和安全备份能力,具体来讲,就是要提高通信网络系统在安全漏洞自发现与修复、全程事件监控和分析、网络安全态势的综合分析、网络安全的高效管理以及安全配置的集中管控等方面的水平。由于所涉及反面比较广泛,所以要构建与之相应的安全技术体系。

其次,加强IP承载网的安全优化设计,利用安全管理中心来提高绿色通信网络系统的安全性。加强对普通计算机应用系统的管控,并在实际管理和使用过程中,加强对相关技术人员的安全教育,提高他们的保密意识和技术能力,尽量将安全风险降至可控制范围内的最低。在管理方面,要加强长效的安全管理机制的构建,确保网络管理人员及时到位,构建完善的安全评估和应急体制,等等。特别需要提出的是,为了提高系统应急能力,必须要构建完善的安全应急处理协调机制,加强应急预案体系和应急指挥体系的构建,全面加强应急队伍和技术保障建设。要做好基础信息网络建设、重要信息安全备份和安全应急处理工作,一旦出现安全故障,要确保在最短时间内加以解决,将风险和损失降至最低。

3 规划绿色通信网络的四步骤

规划绿色通信网络系统是电力企业信息建设的重要前提和基础保障,具有非常重要的现实意义。为为了实现这一目标,不仅需要严格遵守电力系统的相关规定,而且还要严格遵循相关的技术标准,所以,要想实现绿色通信网络的科学规划,需要立足于传送网络层和业务网络层,加强所用设备的检查、巡视与监控,确保信息系统安全稳定运行,强化信息通讯安全保障,主要做好以下几个方面的工作才可以:

3.1 做好业务网络规划。具体来讲,就是对提供不同业务的网络加以科学规划,包括数据网、移动通信网和计算机网等核心业务网络。业务网络规划在绿色通信网络系统构建中具有重要作用,是电力企业实现信息化的关键环节。电力企业要在既有业务网络的基础上加强安全建设,灵活利用各种手段加强对安全技术人员和管理人员的业务培训,提高电力企业业务系统的技术能力和安全意识,确保各大业务系统的正常运作。

3.2 做好传送网络规划。具体来讲,就是构建完善的业务技术支撑体系,对交换机、无线网络、移动网络和服务器等进行规划。目前,国家对信息安全问题日益重视,而电力企业信息系统的安全建设也开始提上日程,如何加强传输网络层的规范化和标准化,已经成为通信领域的一大课题。根据通信网络系统对信息传输安全性、保密性和规范性的要求,电力企业要实现对信息传输的实时监控,强化网络管理人员的保密意识,避免管理人员将重要信息外泄的非法操作现象出现,确保信息传输的安全性。

3.3 做好安全保障规划。具体来讲,就是通过成立专门的组织机构,明确各科室信息人员及时处理设备故障的工作,及时处理信息通信出现的突发事件。坚持“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,完善各项防护措施,加强运行管理,开展防病毒、防攻击、防破坏等安全防范工作;开展全方位的通信网络隐患排查和治理工作,做好基础设备防火、防盗及电源检查与保障工作;建立特巡机制,重点监控网络设备、重要应用系统与数据库等;加强网络通道保障机制,对值班人员提出密切监控的严要求,发现问题及时解决,全面保障通信网络安全。

3.4 做好基础设施规划。具体来讲,就是对计算机、服务器等硬件设施的规划,这些硬件设施是确保通信网络系统正常运作的前提。在信息系统中,服务器承载量非常大,在信息传输过程中数据的处理工作量也急剧增长,只有实现对路由器的实时监控,定期检查路由器故障,加强基础设施建设力度,才能确保其企业通信网络系统的安全运作。此外,为了构建长效绿色通信网络系统,还要对网络安全预防、网络综合化等因素加以全面考虑,在做好信息传送网络层和业务网络层规划基础上,积极采取有效的安全预防措施,以便尽快实现绿色通信网络系统构建的信息化建设目标,实现电力企业的可持续发展。

4 结语

现代通信网络日益呈现多元化发展,数字化、宽带化和智能化已经成为必然趋势,做好网络规划和绿色通信网络系统构建,不仅可以确保电力企业的信息安全,而且还可以创造良好的社会效益和经济效益。所以,电力企业必须加强对绿色通信网络系统的构建,全面提高企业信息技术创新能力和信息安全管理能力,将企业的信息安全风险降至最低,全面提高电力企业通信网络系统的安全防护能力和安全管理水平。

参考文献:

[1]张礼莉.浅析电力企业信息网络的安全及防范措施[J].通讯世界,2013(11).

[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息通信,2013(03).

[3]李艳.绿色信息通信网络中的节能减排技术应用[J].数字技术与应用,2013(08).

篇6

关键词:石油企业;信息安全;管理手段

0引言

随着信息化建设进程飞速发展,作为信息载体的计算机、互联网已在企业生产、经营管理各个层面得到广泛应用。计算机网络的开放性、灵活性和广泛性在全面数字化的今天给经营管理带来了便捷、高效、有序的工作环境,同时也带来了较大的安全管理隐患。黑客的出现、安全漏洞的增多、管理的交叉混乱、恶意的网络攻击使网络安全管理遭受了较大的冲击,成为信息化健康发展的绊脚石。网络信息管理疏于安全的防范将危及到企业生产经济的有序发展。石油企业在国民经济中发挥着重要作用,任何风险都可能导致国家经济受到重大影响。因此,提高石油企业信息安全意识,加强信息管理应以保瘴服务和应用为目标,强化安全意识、制定周密的安全手段从而构建完善的信息安全管理体系。

1加强企业信息管理的必要性

1.1企业信息管理概念

企业信息管理是通过现代化的信息技术和设备,以网络技术和网络设备实现企业管理的自动化,进而对企业进行全方位和多角度的管理,以此来促进企业生产、经营管理的优化配置,进而通过企业资源的开发和信息技术的有效利用来提高企业的管理水平,增强企业的核心竞争力。企业信息管理的主要内容,一般包括企业未来的经济形势分析、预测资料、资源的可获量、市场和竞争对手的发展动向,以及政府政策与政治情况的环境变化等等。企业信息管理与制订企业发展战略、制订规划、合理地分配资源是密切相关的。同时,企业的信息管理也应当包括企业内部的信息资源,如财务管理信息、物资库存、钻井施工、职工档案管理等多方面的内容,并且促进企业的全面发展。

1.2企业信息安全管理的必要性

企业信息的存在方式有着多样性,而进行企业安全信息管理的主要目的,在于保护企业的信息安全,保证企业能够顺利的参与到市场经济活动中,进而提高企业的经济效益和社会效益,构筑起信息安全管理系统的保密性、完整性、可用性、可维护性、可验证性的目标,使企业安全信息管理能够通过有效的控制措施来实现。第一,企业管理的信息具有很强的保密性和完整性的特点,因此其对于企业的生产势力、科技含量、资金流动、企业的综合竞争力等多方面都有着重要的影响,同时对于企业的商业形象与合法经营也至关重要,因此加强企业信息安全管理是必要的。第二,由于网络自身所具有的开放性特性,决定了企业信息管理也面临着来自各方面的安全威胁,比如计算机病毒、黑客等,以及计算机诈骗、泄密等问题,也说明了加强企业信息安全管理势在必行。第三,企业对于信息系统产生的依赖也从另一方面暴露出了信息管理系统的脆弱,公共网络与私人网络的连接增强了信息的控制难度,使得信息在分散化的管理模式下,集中、专业控制的有效性大大减弱。另外,由于很多信息管理系统设计的缺陷,其自身就存在着不合理之处,这对于信息安全管理也带来了一定的难度。基于此,对于企业信息管理的安全性也成为了当前企业管理面临的一个重大课题。

2加强企业信息管理安全的防范措施

2.1不断完善信息管理系统

随着企业信息化的发展,目前应用的管理系统有PKI、邮箱、AD域、普OA、合同系统、A6、ERP、网络、操作系统、A7、档案系统、物采系统、OSC、视频会议、企业微信、门户网站、宝石花、数字营房、会议保障、E2、一体化、RTX、移动应用、短信平台。信息系统的连续稳定运行越来越重要,一旦系统中断,将会给企业的生产经营管理带来混乱,而数据一旦丢失,后果是不可估量的。为此,信息管理系统的投入和使用,是建立在充分的实践经验的基础上,通过一段时间的运行和观察,才能够投入使用。在不同的部门进行信息系统的引入时,应当按照部门的实际情况,通过多方引进,使用统一的信息管理系统。对于信息安全来说,首先要解决的就是系统是否能够通过安全验证对用户进行有效的管理,并且赋予不同等级的用户不同的使用权限,这样则能够有效的防止无权访问信息的用户对核心区域的访问,保证信息不会被盗用。同时,为保证信息系统的连续稳定运行,应采用双机服务器和从服务器。一旦发生服务器故障,由从服务器自动接替主服务器工作。

2.2有效的设备管理

设备安全主要涉及到由于自然灾害、人为因素造成的数据丢失。信息安全应建设完善的容灾备份系统,容灾备份系统一般由两个数据中心构成,主中心和备份中心。通过异地数据备份,实时地将主中心数据拷贝至备份中心存储系统中,使主中心存储数据与备份中心数据完全保持一致。同时,对于管理系统中使用的设备品牌、机型、内部配置以及使用时间等信息都要进行专门的记录,通过这些记录,定期对设备进行维护,同时也能够通过这些信息判断出信息的使用效率以及运行情况,对于设备的损坏或者是丢失情况都能够及时地了解。

2.3加强对人员的监督与管理

企业信息安全不单纯是技术问题,而是一个综合性的问题。其中最重要的因素是人,人是设备的主要操作者,因此对于信息的安全管理,就需要加强对人的管理,需要操作人员具有足够的安全意识,对于每一位操作人员进行相关的培训,对于唯一的用户名和密码等信息要进行妥善保管,同时让操作人员认识到泄密会导致的严重后果,增强责任意识。只有通过不断地学习及意识的培养,管理人员才能养成定期维护、按时打补丁、及时更新的操作习惯,以不变应万变的态度应对各种网络攻击手段。通过不断的加强过程管理,通过对每个细节的严密审查,能够有效减少人为出错的现象,同时通过科学的评价机制和激励机制,刺激人员工作的积极性,加强自身的责任意识。

2.4网络传输安全

篇7

【关键词】 信息技术 电网企业 网络信息 安全管理

一、我国电网企业网络信息发展现状

近几年来,我国电网企业网络信息发展迅猛,电网企业信息化基础设施较为完善,电网企业和其他企业相比信息化程度相对较高,电网企业各部门人员都使用计算机进行办公。电网企业营销管理系统应用广泛,我国各地区电网企业都建立了网络信息管理系统,电网企业业务受理都呈现出信息化特征。随着信息技术的不断提高,我国电网企业网络管理信息系统逐渐建立起来,并在一定程度上得到推广,国家电网企业大力开展网络管理信息系统建设,在电力生产、电力设备使用、安全监督和电力营销等方面都应用到网络管理信息系统,电网企业的网络化和信息化增强,电网企业将网络信息建设和管理放到首位,旨在通过信息技术推动电网企业的可持续发展。

二、电网企业网络信息安全管理中存在的问题

1.信息化机构建设尚不完善。电网企业网络信息部门没有受到足够的重视,电网企业信息管理部门没有在企业内部设置专门的信息化机构,电网企业没有科学合理的信息管理岗位,电网企业信息管理部门建设落后,信息化机构建设尚不完善,电网企业缺乏专业技能良好、综合素质较高的复合型人才。2.电网企业网络信息化管理水平低下。和我国信息技术的发展和应用相比,国家电网企业网络信息化管理水平相对较低,电网企业没有对网络信息化管理进行不断优化和革新,虽然我国很多电网企业都将先进的信息系统和网络管理系统运用到企业运营中,但是并没有及时对电网企业的网络信息管理模式进行革新和完善,这就导致网络信息系统不能达到预期的使用效果。

三、加强电网企业网络安全管理的有效措施

1.重视电网企业网络信息安全规划。对我国电网企业网络信息进行规划的主要目的是提升网络信息系统的安全性,对电网企业网络信息系统的安全问题进行全面考虑,对电网企业网络信息安全进行科学合理的规划,建立全面统一的网络信息安全管理体系,能在一定程度上提高电网企业网络信息的安全性。

2.合理划分网络安全区域。要对电网企业网络安全区域进行合理划分,根据电网企业各部分网络信息的安全密级和安全规划对网络安全区域进行科学合理的划分,通常情况下可以将电网企业网络安全区域划分为三部分,即重点防范区域、一般防范区域和完全开放区域,这样才能实现电网企业网络信息的安全管理,使得个网络区域的工作能够顺利开展。

3.加强网络信息安全管理和制度建设。为确保电网企业网络信息的安全性良好,电网企业应该将网络信息安全管理和相关制度建设当做重点内容,对电网企业网络信息日志进行严格管理和安全审计,充分利用防火墙和入侵检测系统的审计功能,对电网企业网络信息日志进行准确记录。重视并加强电网企业网络信息管理制度建设,明确电网企业从业人员的职责和义务,制定网络信息安全事故应急处理程序,加强电网企业网络信息管理基础设施建设,确保网络信息系统运行环境良好,电网企业应该做好防火防水设计,确保电网企业网络信息系统安全性能良好,运行可靠。

4.加强电网企业网络信息管理人员的综合培训。电网企业网络信息管理人员的专业水平和综合素质对网络信息安全具有极大的影响,电网企业必须重视并加强网络信息管理人员的综合培训,提高网络信息高级管理人员的综合能力,使其了解网络信息安全管理的策略及目标,制定科学合理的电网企业网络安全管理制度。加强网络信息系统安全运行管理和维护人员综合能力的培训,使其能够充分理解电网企业网络信息安全管理策略,掌握网络信息系统安全操作和维护技术。让网络信息管理人员充分了解网络信息安全操作流程,获得全面的电网企业网络信息安全知识,提高网络信息管理人员的安全意识和技能,确保网络信息管理人员专业水平较高,综合素质良好,使其在电网企业网络信息系统运行、管理和维护上充分发挥自己的职能。

总结:随着信息技术的快速发展,电网企业信息化成为一种必然的发展趋势,电网企业在电力生产和运营的过程中只有做好网络信息安全管理工作,在不断的实践过程中发现电网企业网络安全管理中存在的问题,探索出加强电网企业网络信息安全管理的有效措施,才能实现电网企业的可持续发展。

参 考 文 献

[1]朱贵强.论企业网络信息安全管理[J].中国科教博览,2005,(6).

[2]闫斌,曲俊华,齐林海.电力企业网络信息安全系统建设方案的研究[J].现代电力,2003,(1).

篇8

关键词:电力信息化;安全保障体系;

1关于电力信息化及其建设模式特点

电力信息化是由电力信息基础设施(PII)和信息化应用系统部分组成。计算机信息网络及其通信网络是电力信息化的基础,各类电力信息资源的开发利用是电力信息化的核心。电力企业信息化是指各类电力企业在电力生产和经营、管理和决策、研究和开发、市场和营销等各方面应用信息技术,建设应用系统和网络,通过对信息和知识资源的有效开发和利用,调整和重构企业组织结构和业务模式,服务企业发展目标,提高企业竞争力的过程。企业信息化包括生产过程自动化和管理信息化两方面内容。生产型企业信息化的重点在于生产过程中供应链的调配与优化,如发电厂的重点是生产过程自动化:商业销售型企业,则利用信息系统进行订单管理、客户关系管理、营销管理,与合作伙伴进行协作交流,如供电企业的重点是营销自动化:无论哪类企业,其信息化的共同之处就是应具备办公自动化、共享信息查询、业务数据处理、电子邮件等基本功能即信息网扣安全保障体系的建立,如防病毒系统,防火墙系统、入侵检测系统、存储备份系统等。现针对不同类型的电力企业,探讨在电力信息化的建设特点。

2电力信息安全现状与需求

2.1电力信息安全内涵

电力信息安全是指电力主营业务系统及企业信息安全,保障不被未经授权者访问、利用和修改,为合法用户提供安全、可信的信息服务,保证信息和信息系统的机密性、完整性、可用性、真实性和不可否认性。

2.2电力信息安全存在的问题

1)信息安全意识薄弱。信息安全由于无法量化、未发生重大事故等原因,往往被忽视,不少单位的网络与系统基本处于不设防状态;另外,电力企业IT用户由于不了解安全威胁的严峻形势和当前的安全现状,在使用个人计算机、应用系统、网络时只关注易用性,忽视了安全性。

2)信息安全保障工作没有常态化。信息安全保障工作以检查为主,如电监会、上级公司的安全检查,信息安全领导小组、工作组只在有信息安全事件发生时发挥作用,没有形成常态化的工作机制。

3)信息安全运作机制不完善。主要体现在业务连续性计划不完备、业务系统开发交付环节缺乏安全测试和对测试数据的管理、信息文档管理不规范等。

4)短板现象显著。电力企业办公地理位置分散(如供电所、营业厅),不同片区的IT运行维护(以下简称运维)、安全管理缺乏规范,在信息化建设落后的地方,由于受经济、技术水平等因素限制,往往存在信息安全短板。

5)系统安全设计不足。业务系统建设时缺乏安全设计方案,造成系统存在sql注入、跨占脚本攻击、无详细的审计日志、身份认证信息强度不足、软件容错性差等问题。

2.3信息安全保障需求

电力企业信息安全面临的风险有病毒木马、非法篡改信息、信息泄露、服务瘫痪,应对风险安全保障需求可分为信息安全管理和信息安全技术2大类 。

信息安全管理需求包括信息安全评估、安全策略规划、制度规范和实施细则制订、安全管理组织建立、信息安全培训、信息安全运行管理、安全监控、应急响应和恢复、安全监督审计等方面;信息安全技术需求主要是通用信息安全技术手段(或安全服务),如身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等。

3建立安全的电力信息保障体系

3.1信息安全策略

信息安全策略应由安全决策层制定并进行宣传,可从省级电网层面制定公司安全策略,各地市级供电局负责贯彻落实。电力信息安全策略的制定应结合国家信息安全等级保护政策,以提升企业整体防病毒、防篡改、防攻击、防泄密、防瘫痪能力为基础,并结合自身信息化建设水平。

3.2信息安全管理

对比信息安全保障框架,电力企业在信息安全管理方面亟待加强,集中体现在以下几个方面:虽然建立了信息安全管理组织,但并没有有效运转;公司员工仍认为信息安全是某一个IT部门的事,包括信息技术部内部部分管理人员,没有树立起全员信息安全意识;部分安全职责不明确或不履行职责,对安全管理制度置之不理;缺乏有效的安全通报考核机制;没有建立起风险管理控制机制;信息安全管理体系没有形成计划、实施、检查、处理闭环。

1)信息安全组织方面,应建立安全决策机构、管理机构、执行机构和督察机构。安全决策机构应由省级电网公司成立,并至少每年召开信息安全工作会议,通报电力信息安全现状和安全规划;督察机构可抽调企业内部各单位信息安全业务骨干组成,至少每个月对信息安全状况进行检察和上报;明确各级信息安全岗位职责,使安全管理组织真正运转起来。

2)安全风险管理是对企业残余风险的管理控制,防止风险发生。实施信息安全风险管理流程优化,控制变化带来的风险,确保风险受控,实施年度风险管理审核机制, 由安全督察机构实施风险审核。

3)电力信息安全保障应引入PDCA闭环管理思想,建立安全监察评价机制和信息安全考核评价指标,通过对信息安全政策、标准、规章制度、措施执行情况的检查及借助信息技术手段分析信息安全情况,不断优化安全管理运作过程。

信息系统运维部门对系统安全风险最清楚,但运维人员通常怕担责任,受批评,增加工作量,参与风险排查的积极性不高,故应调动一线运维人员排查风险的积极性,在各信息系统的管理维护部门内部建立风险排查机制,每个月进行排查,提交月报;安全管理人员与各信息系统的管理维护部门联合组织专题排查;安全督察机构每年进行强制性抽样检查,形成部门主动排查为主,专家年度安全检察为补充的安全监察机制。安全考核评价应结合安全监察,至少每年1次,先由各单位或机构根据自查情况进行自评估,之后由安全督察机构根据自评估结果,对部分部门实施强制性抽样检查,以保障安全考核评价的客观性。另外,必须根据安全考核结果进行通报和奖励。

3.3保证电力信息安全的技术措施

身份认证和访问控制可通过公钥基础设施(publickeyinfrastructure,PKI)技术进行统一管理,建立省电网级认证授权中心,提供目录服务、身份管理、认证管理、访问管理等功能。实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。对营销、财务等系统中的机密数据,应使用加解密、数字签名、消息认证码等手段进行保护,提高系统服务和数据访问的抗抵赖性。目前,电力企业多数系统通信过程都未采取加密、数字签名等安全措施,加之企业内网未实施有效的准入控制,这给电力信息安全造成巨大风险,必须尽快梳理各类信息的机密属性,整体规划,对应用系统进行升级改造,并实施内网准入机制。

电力管理信息大区网络内部应建立病毒预防、检测、隔离和清除机制,预防未知病毒入侵,迅速隔离被感染的主机,识别并清除网内的已知病毒。

加固是指对信息系统安全领域受保护的对象进行自身安全加固的保护,内容主要包括安全漏洞扫描、渗透性测试、对象补丁的获取和实施安全、关闭不必要的服务和防止拒绝服务的攻击5部分。针对终端安全,应由省级电网公司建立统一的桌面操作系统安全补丁管理体系、建立规范的桌面计算机系统软件管理体系、建立完善的桌面计算机系统资产管理体系、建立严格的软件监控管理体系、建立有效的桌面办公安全管理规范和技术规范等。针对主机安全,需搭建统一的补丁测试环境,对电力典型业务系统进行补丁测试,建立统一的补丁测试、更新机制,建立主机平台配置技术规范等。

监控和审计可提高信息的安全性,提高问题发生时的反应速度,有效预防安全问题的发生。应进行统一规划,建立IT监控平台。目前广东电网等省级电网公司都已经开始实施监控平台的建设。

备份恢复技术主要包括备份技术、冗余技术、容错技术和不间断电源保护4个方面的内容。备份恢复与容灾中心具有关联性,建立容灾中心的单位应每年至少进行一次灾备恢复的演练,没有容灾中心的单位应将营销、生产、财务等核心数据定期进行异地备份,并定期进行备份恢复演练,提升应对自然灾害的能力。

篇9

一、电力企业信息安全风险分析

随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。

1、电力公司信息安全的主要风险分析

信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:

(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。

在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。

(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。

网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。

如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。

(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。

网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。

(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。

(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。

同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。

(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。

随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。

二、解决信息安全问题的基本原则

统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。

1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。

2、采用信息安全新技术,建立信息安全防护体系

企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施。

3、计算机防病毒系统

计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。

在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。

4、网络安全防护系统

信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。

对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。

5、开展信息安全专题研究,为将来的应用做好准备

电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。

国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。

6、电子商务安全需要深入研究和逐步应用

电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。

7、依据法规,遵循标准,提高安全管理水平

信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。

三、解决信息安全问题的思路与对策

电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。

1、依据国家法律,法规,建立企业信息安全管理制度

国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,发表信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平,国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来发表我们的工作,提高水平,少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。

2、开展全员信息安全教育和培训活动

安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。

开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。

3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务

山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。

4、在发展中求安全

没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。

不是所有的信息安全问题可以一次解决

人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。

篇10

关键词:企业信息系统安全

引言

信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄漏,信息系统连续正常运行。

信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险,其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言,不可能试图单凭利用一些集成了信息安全技术的安全产品来解决,而必须考虑技术、管理和制度的因素,全方位地、综合解决系统安全问题,建立企业的信息系统安全保障体系。

1 企业管理信息系统安全存在的普遍问题分析

随着信息科技的发展,计算机技术越来越普遍地被应用于企业,而企业的信息系统普遍都经历了由点及面,由弱渐强的发展过程,并在企业内形成了较为系统的信息一体化应用。随着企业信息系统建设的全面开展以及各种业务系统的逐步深入,企业的经营管理等对信息系统的依赖也越来越强,甚至成了企业生存发展的基础和保证。因此企业信息系统的安全可靠性越来越重要,信息系统安全成为企业迫切需要解决的问题。因为信息专业人员面对的是一个复杂多变的系统环境,如:设备分布物理范围大,设备种类繁多;大部分终用户信息安全意识贫乏;系统管理员对用户的行为缺乏有效的监管手段;少数用户恶意或非恶意滥用系统资源;基于系统性的缺陷或漏洞无法避免;各种计算机病毒层出不穷等等,一系列的问题都严重威胁着信息系统的安全。因此,如何构建完善的信息系统安全防范体系,以保障企业信息系统的安全运行成为企业信息化建设过程中发展必须面对并急需解决的课题。

2 企业信息安全解决方案的模型分析

2.1 从关于对信息系统安全的几个认识上的问题:

2.1.1 解决信息系统的安全问题要有系统的观念。解决信息系统的安全问题必须是系统性的不能指望只从任何一方面来解决。从系统的角度来看信息系统由计算机系统和用户组成,因此信息系统安全包括人和技术的因素;

2.1.2 信息系统的安全问题是动态的、变化的;

2.1.3 信息系统的安全的相对的;

2.1.4 信息安全是一项目长期的工作,需制定长效的机制来保障,不能期望一劳永逸。

2.2 近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

2.2.1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2.2.2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

2.2.3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

2.2.4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

2.2.5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

3 信息安全管理中管理因素的应用

在安全保障体系中,“风险评估+安全策略”体现了管理因素

3.1 为保障企业信息系统的安全,企业必须成立专门的信息系统安全管理组织。由企业主要领导负责,通过信息安全领导小组对企业的信息安全实行总体规划及管理。具体的实施由企业的信息主管部门负责。

3.2 企业应该出台关于保证信息系统安全管理标准。标准中应该规定信息系统各类型用户的权限和职责、用户在操作系统过程中必须遵守的规范、信息安全事件的报告和处理流程、信息保密;系统的帐号和密码管理、信息安全工作检查与评估、数据的管理、中心机房管理等信息安全的相关的标准,而且在系统运行管理过程中应该根根据发展的需要不断地补充及完善。

3.3 积极开展信息风险评估工作。定期对系统进行安全评估工作,主动发现系统的安全问题。

3.3.1 信息网的网络基础设施(拓扑、网络设备、安全设备等)

3.3.2 信息网网络中的关键主机、应用系统及安全管理

3.3.3 当前的威胁形势和控制措施。

通过对企业信息网内支撑主要应用系统的IT资产进行调查,对存在的技术和管理弱点进行识别,全面评估企业的信息安全现状,得出企业当前的全面风险视图,为下一步的安全建设提供参考和指导方向。为企业信息安全建设打下了扎实的基础。

3.4 加强信息系统(设备)的运维管理,包括如下几方面的措施:

3.4.1 建立完善的设备、系统的电子台帐,包括设备的软、硬件配置以及其它相关的技术文档;

3.4.2 规范系统管理的日常各项工作,包括设备安装、系统安装以及各项操作都进行闭环管理;

3.4.3 建立完善的工作日志,日常的各项操作、系统运行等都必须有记录;

3.4.4 规范普通用户的行为,只分配给各种用户足够应用需要的资源、权限。

4 信息安全管理系统技术应用

在安全保障体系中,“防御体系+实时检测+数据恢复” 体现了技术因素。在信息安全保障体系统建设过程中,需从多个方面,多个角度综合考虑。采用了分步实施,逐步实现的方法。结合多年来在信息安全方面采取的技术手段觉得可以采取的技术手段如下:

4.1 关键的系统采取冗余的配置,以提高系统的安全性。如对核心交换机、中心数据库系统、数据中心的存储系统、关键应用系统的服务器,可以采取双机甚至群集的配置以避免重要系统的单点故障。加强对网络系统的管理。网络系统是企业信息系统安全的最核心内容之一,也是影响系统安全因素最多的,很多系统安全的风险都首先是由于网络系统的不安全引起的。在此重点谈一下在网络安全方面需采取的技术手段。

4.1.1 加强网络的接入管理。这是网络安全的最基础工作,与公用网络系统不同,企业的网络系统是企业专有的网络,系统只允许规定的用户接入,因此必须实现接入管理。在实际的工作中采取边缘认证的方式。在笔者的实际工作中是通过对所在公司的网络系统进行改造后实现了支持基于MAC地址或802.1X两种方式的安全认证,实现企业内网络系统的安全接入管理。使所有的工作站设备从网络端口接入网络系统时必须经过安全认证,从而保证只有授权的、登记在册的设备才能接入企业的网络系统以保证系统的安全。

4.1.2 利用VLAN技术根据物理分布及应用情况适当划分系统子网。这样有多方面的好处:首先对网络广播流量进行了隔离,避免人为或系统故障引起的网络风暴影响整个系统;其次是提高系统的可管理性。通过子网的划分可以实现对不同的子网采取不同的安全策略、将故障定位在更小的范围内等;再次是可以根据应用的需要实现某些应用系统的相对隔离。

4.1.3 加强对网络出口的管理。如在企业内部网络与Internet(或其它不可信任的网络)连接的边界架设防火墙作安全网关,并制定了安全的访问策略;架设了防病毒网关,尽可能将计算机病毒堵在企业内部网络之外。

4.1.4 采用网络运维管理网管平台,实现对企业网络系统监控、IP地址与服务分布查询定位、网络数据流异动报警功能。

4.1.5 在系统上部署网络入侵和安全审计系统,如采用旁路方式接入网络,对网络内部和外部的用户活动进行监控,侦察系统中存在的现有和潜在的安全威胁,对与安全有关的活动信息进行识别、记录、存储和分析。

4.2 通过桌面管理系统等实现对企业的PC等以及终端用户的行为进行集中的管理。数据表明企业的系统安全事件大部分来自于企业内部网络。如何实现对内部用户的有效管理,防止用户有意或无意的滥用系统资源而对整个信息系统造成危害是企业系统信息系统安全需解决的重要问题。根据笔者的经验在边缘认证系统的支持下对PC等设备进行集中的监控和管理、对用户行为能有效管理、跟踪是最有效的方法。而桌面管理系统能帮助系统管理人员实现这些目标。通过该系统对企业的IT资源进行动态的跟踪收集,动态生成最新的IT资源清单;对设备异动进行报告。实现硬件、软件资源的远程维护及管理。主动的基于系统的安全漏洞的扫描功能。实现快速的系统安全评估及系统补丁的自动分发,提高IT资源的有效使用率。

4.3 选择合适的防病毒产品,部署安全而有适用的防病毒系统。计算机病毒近年来是威胁信息系统安全的重要因素,层出不穷的计算机病毒严重威胁着企业的信息系统。根据应用的不同选择合适的防病毒产品来部署企业的防病毒系统是非常重要的。根据笔者的经验可以根据应用系统的安全等级要求不同可以采取多种防病毒产品、对不同的应用系统采取不同的查、杀、拦截策略。如对服务器、重要的系统就应当采取以保护系统的数据安全、系统运行的稳定性为前提的病毒防护策略,而对PC等终端设备则要采取以不能因它而威胁整个系统安全为原则的病毒防护策略;相反一台工作站的连续运行能力就不是要重点考虑的,如最好能实现PC等工作站的防病毒产中是否安全使用与边缘认证结合起来,不安全的工作站不能接入系统从而保证系的安全。