企业信息安全管控范文

时间:2023-10-10 18:07:22

导语:如何才能写好一篇企业信息安全管控,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全管控

篇1

(1)适应电力企业发展的需要,遵循现行电力企业管理体制;

(2)管控平台涉及技术和管理,须对技术手段和管理手段的实现方式进行决择;

(3)须考虑不同级别单位以及不同使用对象需求的侧重点;

(4)管控平台自身须具有一定安全性;

(5)基于管控平台的工具特性,须配套推出数据初始化等服务及制度来实现平台的正常运转。

2管控平台角色需求分析

管控平台设置的用户角色必须与电力企业现有信息安全相关组织架构相匹配。一般来讲,电力行业自身信息安全相关组织架构包括上级信息安全主管单位、本地信息安全主管单位以及本地信息安全实施单位此外,电力行业在实际信息安全工作中,需要外部信息安全产品厂商、安全服务厂商、安全咨询机构、相关公共信息安全机构以及科研机构支持。管控平台将外部信息安全产品厂商、安全服务厂商、安全咨询机构统一定义为外部信息安全支持单位,将相关公共信息安全机构以及科研机构定义为应急联动及专家机构。管控平台各角色职能需求分析如下:

(1)上级信息安全主管单位上级信息安全主管单位负责企业整体信息安全保障,掌握整体信息安全态势,评估网络和信息系统安全机制的有效性情况。在信息安全突发事件发生时,负责事件决策、监控、协调。

(2)本地信息安全主管单位本地信息安全主管单位负责本单位信息安全保障,掌握所辖网络及其业务信息系统的安全态势,协调安全事件的处理。

(3)本地信息安全实施单位本地信息安全实施单位负责本单位信息安全保障具体实施工作。在管控平台中本地信息安全实施单位设置的角色包括负责人、安全主管、安全运维人员等,如表1所示。负责风险评估、实时监控、应急演练、安全预警以及信息安全突发事件处置各项工作的具体实施。

(4)外部信息安全支持单位外部信息安全支持单位承担信息安全支撑服务职能,其职责包括外部信息安全事件预警监控,风险评估、应急演练及应急处置的外协支持等。

(5)应急联动及专家机构应急联动及专家机构由各相关公共信息安全机构、科研机构信息安全相关领域专家组成,为电力企业信息安全保障提供技术支持和资源保障。应急联动专家机构人员在管控平台中通过设置呼叫树和专家角色,参与应急等各项事务的处置。

3系统功能设计

通过管控平台的定位以及上述角色需求分析,可明确管控平台的功能模块设置及关系如图1所示,下面依次对关键模块内容进行阐述。

3.1基础安全数据管理

基础安全数据管理模块对企业信息系统相关的网络设备、服务器、通用软件等基本信息和策略配置信息,漏洞库、事件特征库、补丁库、安全配置知识库和应急响应知识库,以及风险评估、应急演练等工作中产生的过程数据进行汇总存储并详细分类,支持多种查询和修改。

3.2预案管理

预案管理模块实现对各级单位信息安全应急预案的编制、审批、、更新,以及预案的执行(及演练)和事件处置等功能。其中应急预案编制、审批在管控平台上进行统一规范,各单位人员在管控平台上只需要参考应急预案模板并调用本单位的实际数据内容即可完成编制任务。预案管理模块功能设计如图2所示。在预案管理模块中,应急预案执行是一种复杂的业务流程,通常基于工作流引擎来实现。这种实现方式可确保相应的演练和事件处置活动能够全程可监控、可记录。图3是基于工作流引擎实现应急预案某一操作规程的实例。

3.3风险评估

风险评估模块为各单位信息安全风险评估工作提供全过程支撑,并能够根据评估过程和结果数据(例如将资产调研结果,威胁、漏洞分析等评估结果)通过内定的矩阵型风险计算方式自动计算得出各单位总体风险和高危风险状况,为各单位编制应急预案的方向提供依据。风险评估模块功能设计如图4所示。

3.4业务影响分析

业务影响分析模块同样是为编制应急预案提供依据,与风险评估模块类似。但考虑到信息系统业务的差异性,管控平台不对业务影响分析进行全过程管理和支撑。图险评估模块功能设计示意图

3.5公告管理

公告管理模块向管控平台各级角色提供通知信息、浏览、查阅、管理功能。公告从编制、审批、到反馈的整个流程均通过管控平台来实现。公告的类别包括:

(1)企业发文:企业带正式文号的信息安全类文档的、管理、显示;

(2)通知通报:企业不带正式文号但须告知各级单位的信息安全相关文档的、管理、显示;

(3)企业动态:企业各级单位参与的信息安全相关活动、新闻的、管理、显示;

(4)业界安全动态:国内外安全事件,尤其是电力行业安全相关动态的、管理、显示。

3.6预警管理

预警管理模块包含漏洞预警和威胁预警两类功能,级别分为高、中、低三级。预警信息来源分为两类,一类是国内外安全评测机构、厂商的安全预警及漏洞,另一类是源自风险评估模块和业务影响分析模块的计算结果。与公告类似,预警管理的整个流程通过管控平台来实现。各单位接收到管控平台自动发送的提示短信,登录平台,即可处理预警信息。

3.7安全事件管理

安全事件管理模块对信息安全事件的分级分类以及事件响应处理进行管理。信息安全事件的分级分类基于国家有关标准与行业实际情况。安全事件响应方式分为自动响应和事件工单管理两类。自动响应包括屏幕、邮件、声音、工单、对话框、设备控制、短信、脚本操作、SNMPTrap等响应方式,并通过其设置实现自定义用户响应策略。事件工单管理则通过与第三方统/平台的接口与例如IT服务管理平台进行联动来实现。

3.8信息安全状况监视(应急值班室)

信息安全状况监视模块可向各级人员提供不同的管理界面,分为宏观态势监视与应急监视两类。宏观态势监视能够根据风险评估结果、安全预警信息以及当前安全状况(是否有安全事件发生以及处理情况),对企业整体安全态势进行研判,为安全决策提供支持。应急监视能够通过安全模型分析及人工比对分析,将安全事件、威胁、漏洞等数据与管控平台中业务数据进行关联,得出研判信息,并结合国家有关标准,为应急人员提供应急相应实施依据。信息安全状况监视模块功能设计如图5所示。

4结语

篇2

企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。

二、企业信息安全管理与风险控制存在的不足

1.企业信息安全管理工作人员素质不高

对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。

2.企业信息安全管理技术不过关

企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。

3.企业信息安全管理制度不健全

企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。

三、企业信息安全管理常见的技术手段

1.OSI安全体系结构

OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。

2.P2DR模型

P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。

3.HTP模型

HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。

四、完善企业信息安全管理与降低风险的建议

1.建设企业信息安全管理系统

(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。

(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。

(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。

(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。

2.设计企业信息安全管理风险体系

(1)确定信息安全风险评估的目标

在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。

(2)确定信息安全风险评估的范围

不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。

(3)组建适当的评估管理与实施团队

篇3

【关键词】信息资产;管理;流程;措施

【中图分类号】F273.4

【文献标识码】A

【文章编号】1672—5158(2012)10-0130-01

1 引言

信息资源是指企业生产及管理过程中所涉及到的文档、数据以及生产和承载数据的软硬件系统(设备)的总和。国务院颁发的《2006-2020年国家信息化发展战略》指出:“进入21世纪,信息资源日益成为重要生产要素、无形资产和社会财富”,正式明确信息是一种资产。

信息资产是指由企业拥有或者控制的、能够为企业带来经济利益的信息资源,企业信息资产具有来源渠道多、更新周期快、分布范围广、流转频率高、公私通用性强、配件调换方便等特点,因此,企业信息资产管理,既有别于传统意义上的固定资产管理,也不同于ERP(企业资源计划)、EAM(企业资产管理)等系统中的资产管理概念,它在具备常规企业资产管理特征的同时,更注重于资产的识别及其动态的管理,进而为ISMS(信息安全管理体系)提供准确、可靠的识别信息,为企业信息和承载信息的网络环境、终端设备及业务应用的安全稳定运行提供基本保障。

2 信息资产管理现状分析

随着企业信息化水平的不断提高,信息资产管理对信息网络安全管理与信息系统运维管理的影响越来越大。为此,国家电网公司下发了“信息计划(2008/37号文件”,将信息资产中的物理资产和软件分为7大类31小类(不包括复印机、照相机、录像机等办公设备和移动存储介质),要求建立包括设备序列号及各种性能参数的资产信息数据库和设备台账,并定期统计、上传信息资产报表,其目的是实现企业信息资产“账、卡、物”一致和资产存在状态“可控、在控、能控”,以满足信息安全管理需要。

同时,国网公司还通过信息安全技术督查和信息网络综合运维监管系统,进一步加强了企业信息资产监管工作力度。尽管如此,我们的信息资产管理还是存在着制度不健全、台账不完整、存在状态不清楚、报表数据不准确等问题,不能满足企业网络及信息安全管理需要,主要原因是:

第一,信息资产的所有权与控制权分离,管理手段落后、监管乏力。长期以来,企业信息资产一直是二级单位使用、信息部门统计、财务部门监管,实际上是二级单位在行使常用信息资产的调配控制权。资产管理、统计报表、配置审批相互脱节,管配置的不掌握资产的配置情况和用户需求,管资产的不知道资产的存量情况和存在状态,信息管理部门则是无法全面掌握资产的来源、数量、配置及具体使用情况。

第二,信息资产来源渠道多、配置变化快,统计报表不能真实反映企业信息资产现状。企业信息资产除正常计划购置外,还有工程项目配套的、业务应用系统建设附带的、推广应用项目配备的、工作需要特批的、主管部门下发的、其它费用变通的等等,由于没有有效的归口管理制度和专职信息资产管理人员,信息管理部门不能完全掌握资产来源情况,现有信息资产报表不能真实反映企业信息资产的实际情况,更不能为信息安全管理提供准确、可靠的数据保证。

第三,信息(数据库和数据文件)管理近乎空白,企业数据资源浪费严重。现行的信息资产管理还局限在物理资产(含软件)管理的层面上,对其它资产,尤其是最为重要的资产——信息的管理,还没有纳入信息资产管理工作中。企业信息化过程中产生的大量运行数据,大都是根据业务应用情况分别存贮,作为历史数据保存下来,并形成一个个信息孤岛。业务系统升级或更新改造后,许多历史数据没有导入新系统,而是随着原系统的报废而被束之高阁,并将随着业务管理人员的更新和时间的流逝而被遗弃。

3 规范管理信息资产的具体措施

规范信息资产管理流程、完善信息资产管理措施,是提高信息安全技术督查管理水平、提高企业信息网络安全可靠性的基础和保证。

3.1 健全制度、规范流程是信息资产“可控、在控、能控”的保证。

根据国网公司资产全寿命周期管理、信息系统运行维护工作规范、信息资产统计报表、信息安全督查规范等文件要求,梳理工作内容与管理流程、明确岗位职责与业务关系,建立以“信息资产数据库”为核心、信息管理部门归口负责、专人管理的企业信息资产管理与考核体系,明确相关部门的职责、权限和义务,确保信息资产管理部门与物资采购、财务核算、人力资源、系统运维等部门齐抓共管、密切配合,实现企业信息资产管理与“人财物集约化”、“信息网络综合运维监管系统”的在线联动、信息共享。

3.2 集中管控、统一调配是信息资产台账准确、“账、卡、物”一致的关键。

企业信息资产集中管控、归口管理、统一调配,二级单位或个人只有使用权没有调配权,用户对所用资产安全负全责。作为日常办公工具,信息资产落到个人账上,直至达到报废年限、履行报废程序后,再以旧换新;使用人调换工作岗位后,所用信息资产随人同时调转;特殊情况需要增减配置时,必须履行签报审批程序并按规定调配;使用人退休或调离本企业前,必须履行信息资产移交签字程序,否则人资管理部门不得办理退休或调离手续。

新增加的信息资产严格履行申报登记制度,不管是那条渠道进来的信息资产,到货验收单和使用分配表均须到信息资产管理部门登记造册,保证信息资产数据库的完整性、信息资产台账的准确性和“账、卡、物”的一致性。

3.3 科学管理是降低信息网络安全风险、提高运维水平的基础。

信息网络安全督察和信息系统运维管理需求的日益增长,对信息资产的管理提出了更高的要求。信息资产管理除实现资产基本特性、物理位置、管理责任的登记造册与统计查询外,还应该反映信息资产的逻辑位置、关联关系、存在历史、当前状态、最终去向等管理属性。只有将常规的平面管理方式提升到现代的立体管理方式,才能使信息资产管理与信息网络安全技术管理相辅相成,从而有效降低网络及信息安全风险、提高信息网络运维管理水平。

3.4 数据应用是企业信息化的根本目的、是信息资产管理的更高目标。

有形资产的购置和维护需要成本,信息(数据)的获取和存贮也需要成本。在加强物理信息资产管理的同时,加速研究、制定企业数据(数据库和数据文件)资产的管控制度,将其与物理资产一样管理,并通过对此类资产的开发利用,为企业创造效益。应在完成企业数据总体规划的基础上,规范企业数据库内容及其管理措施;业务应用系统投入运行后,必须建立包括数据库结构、存贮格式等属性在内的数据管理档案;业务应用系统升级或更新改造后,必须将原系统运行数据全部导入新系统中,保证企业数据的连续性和完整性;建立信息资产管理与企业数据的关联关系,以提高数据检索和查阅效率。企业数据的共享和有效利用,是企业信息化建设的根本目的,也是信息资产管理的更高目标。

4 结语

随着全球“数字化”及“物联网”的快速发展,国家电网公司也加快了“数字电网”和“智能化电厂”的建设步伐,企业信息资产将再次急骤增加,相应的信息安全管理和信息系统运维任务也会更加繁重。因此,建立健全信息资产管控制度,明确信息资产管理流程,强化企业数据等无形资产的管理与利用,实现信息资产管理的制度化、程序化、规范化,既是企业信息网络安全和信息系统运维管理的需要,更是企业信息化发展和“数字电网”建设的必然。

参考文献

[1]《国家电网公司资产全寿命周期管理评估指标体系》

[2]《关于开展国家电网公司信息系统设备(软件)统计工作的通知》

篇4

一、企业信息安全风险主要内容

随着我国信息建设的推进,如今互联网的信息技术得到了越来越广泛的应用,信息技术在企业运行中的作用越来越重要,为企业的发展带来了新的机遇。但同时,信息安全的风险也逐渐显露了出来。如何既能借助信息技术开放共享企业的信息资源,继而达到高效办公的目的,又能规避企业核心信息、商业机密等重要信息的泄露,逐渐成为摆在企业面前亟待解决的一大难题。

传统的信息安全技术,包括防火墙的设置、入侵检测、扫描漏洞、加密数据等对网络底层数据的安全防护工作,但随着电子科技水平的不断提髙,这样简单的防护措施已经无法满足当今的信息安全需求。如何才能称之为安全的信息,需要从以下几方面来探讨:

(1)完整性。首先要保证信息在收集与整理的过程中避免主观上或者客观上的“失真”。其次要保证数据储存的安全性,不能出现缺漏、遗失、损坏等影响信息数据完整性的情况;最后要选择科学合理的信息采集与加工方法,从而保证信息的完整性;

    (2)保密性。包括保障已被授权的用户能够访问权限范围内的信息以及对于非权限范围内的信息的不可访问,以及对特殊资料的不可复制、不可影印等权限的设置;

    (3)可用性。指在技术层面上保证用户的顺利访问和对用户的使用,即保证系统的稳定性以及可用性。

二、企业信息安全风险控制分析

2.1电脑病毒、黑客入侵。企业信息处于开放的网络环境下,暴露在众多木马病毒以及黑客攻击的威胁之下。一旦感染恶意病毒或是被他人侵入企业信息系统内部,可能会导致企业重要资料被窃取、商业信息丢失、内部数据被篡改、通讯消息被窃听、企业电子网络系统瘫痪,无法正常运作、加密措施失效、设备运行发生错误等恶劣影响、这些状况都会给企业带来无可估量的损失。

2.2企业信息安全管理工作疏漏。信息安全工作是一个长期性、持续性的工作,且除非出现大的纰漏否则无法直接感受到该工作的作用,这导致大部分企业难以在这方面的管理与经费支出上拥有足够的自发性与主观能动性,这既是企业信息安全管理工作本身的性质导致的,也是企业趋利的性质导致的。

三、企业信息安全风险控制策略

3.1优化企业网络防火墙,提高外部威胁防范能力。鉴于当前网络病毒的盛行和黑客入侵行为的猖獗,企业应将防止此类行为放到企业信息安全工作的首位。而强化防火墙设计则是对应于此类威胁的强有力的手段之一,企业的网络电子设备大多配置有防火墙,但存在版本过低、系统陈旧以及防火墙产品不够安全等问题。另一方面,企业网络系统中大多装设了过多功能和品牌相异的电子安全产品,这些软件之间无法兼容,反而会起到负面效果。

对于上述问题,企业可以聘请专业的IT技术人员检查本企业的网络防火墙状况,并进行改善和定期升级。或是引进当今较为先进的企业信息安全风险防范体系,即统一系统平台+独立功能模块。这一设计理念旨在提高企业信息安全防护水平,并且优化企业信息系统运行环境。

3.2提高员工信息安全意识,规范信息网络操作行为。信息安全不仅要从硬件环境下功夫,还要重视企业员工的主观能动性。首先要建立科学严谨的企业信息安全规范守则,以此来强化企业中个人信息安全防护意识;使得信息安全工作落实到企业的每一个员工身上,落实到平日工作的方方面面中。

    四、结束语

篇5

[摘 要] 信息安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督,预防、制止数据泄密。满足用户对互联网行为审计备案及安全保护措施的要求,提供完整的上网记录,便于信息追踪、系统安全管理和风险防范。

[关键词] 安全;信息系统;审计;虚拟化

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2017. 07. 028

[中图分类号] F239.1 [文献标识码] A [文章编号] 1673 - 0194(2017)07- 0058- 04

1 引 言

随着信息技术的高速发展,企业业务对于IT系统的依赖性不断增强,信息和业务交付的灵活性与信息安全保护、防止泄露成为实际工作中的矛盾,企业IT运营既要满足业务发展对业务交付灵活性的要求,又要防止信息泄露,因为信息安全问题关系到企业的声誉,同时关系到企业的经营风险,更关系到国家的机密信息安全。

2 目前化工行业信息安全风险分析

2.1 化工行业信息化发展趋势

石油化学工业是基础性产业,在国民经济中占有举足轻重的地位,是我国的支柱产业部门之一,化工行业之所以重视信息化工作,首先与2015年总理提出的“互联网+”的大发展背景密不可分,工艺流程的制定、化工装置的运行、化工产品的销售都高度依赖于信息化、互联网技术;其次是从化工行业的自身特点衍生出来的,其产品数量多、种类多,产品各个环节的各个控制点特别多,这就要求用信息化技术能够对化工生产中的各个环节产生积极和促进作用。

2.2 化工行业信息安全管理的现状和挑战

因为信息安全管理的要求,在网络管理层面,石油系统内的企业已经建立了完善的内、外网隔离的管理平台,两个网络完全物理隔离,不能互相访问;石油系统内还部署了病毒防御、主动攻击防御系统(Symantec Endpoint Protection),保密安全,漏洞防护等一系列安全防护系统,看似已经建立了一个信息非常安全、固若金汤的基础架构。但在实际业务发展中,仍然存在一些隐患,不容忽视,面临挑战。

一方面企业的业务已经非常依赖信息系统,因为业务发展需要急需把内网系统交付到外网去,即人员在出差过程中能处理内网的业务。现有的内外网隔离架构,只有特权用户能够进行办公,为新的用户授权又需要经过一系列严格的程序,交付周期相对较长,因此不具备实现业务交付的灵活性。

另一方面,即使建立了内外网隔离的架构,也不能从根本阻止信息泄露,而且对于信息泄露事件也不能做到追本溯源,以避免类似事件发生。据全球权威的调查机构报告显示客户发生的信息泄露75%来自系统内部网络,而且超过50%的信息泄露没有找到信息泄露的源头。外网通过入侵,只能获得企业非关键信息;而对内网进行的各种违规操作,才是最致命的,给企业带来巨大的经营风险。所以即使进行了完全隔离,也不能杜绝信息泄露,内部网络的信息泄露主要来自于以下三个方面(见图1):

(1)由外包服务公司员工引起信息泄露。伴随着IT系统越来越复杂,客户本身很难成为各种应用系统、各种管理系统的专家,往往采用服务外包方式进行管理,现实的问题在于,由于没有一套完善的监控、审计机制,外包服务公司人员究竟在管理平台上修改了什么,平台上的数据被是否被保存到了IT服务外包人员本地电脑上并被泄漏出去,是否有危及系统安全和数据保密的操作都不得而知,出现人为操作故障后,追溯问题根源存在争执,追究责任困难,这就成为了信息泄露的最大漏洞。

(2)由内部IT人员引起信息泄露。在IT系统管理过程中,IT管理人员通常有非常大的权限,如何管理和评估这些人员在日常工作中是否有超过权限的操作,怎么清晰地知道哪个IT人员什么时间做过什么操作,都是摆在企业面前的现实问题。

(3)由内部业务人员引起信息泄露。业务人员因为直接掌握了企业财务、设备、销售、物料、物流等各个方面的数据,也是信息泄露的关键因素之一。

3 建设审计系统的意义

由于企业信息安全管理存在外包服务公司员工引起信息泄露、炔IT人员引起信息泄露、内部业务人员引起信息泄露的情况,因此围绕业务系统需要建立可控的、有序的安全架构,以防止和杜绝任何企业数据泄漏的隐患,通过使用信息内容审计系统能够在已建立起的网络安全平台上再增加一道安全防护屏障,从而实现真正完善的信息安全防护体系,这对企业的信息化发展具有重要意义,使用信息内容审计系统的具体价值体现在以下几点:

(1)审计敏感信息接触者,如IT管理员、业务人员、外包公司员工,他们都需要通过审计管控平台,才能获得信息系统的访问、管理权限,获得其需要的应用和数据,如此便可实现从源头上防范信息数据的泄露。

(2)IT管理员、业务人员、外包公司员工的所有操作行为可以通过回放录像的方式进行检索,从而捕捉到关键行为、操作,对于出现的信息泄露等重大问题,责任范围可追溯,做到有依可循、有据可查。

(3)对于系统故障,误删除等操作造成的数据丢失可以通过操作行为录像回放,找出故障原因,找回丢失的重要数据,从而保证企业的财产不受损失,保证企业的名誉不受损失。

4 审计的方法、特点

审计系统综合了核心系统运维和安全审计管控两大主干功能,从技术实现上讲,通过切断终端计算机对网络和服务器资源的直接访问,而采用协议的方式,接管了终端计算机对网络和服务器的访问。目前普遍采用的审计方式有两种,一种采用一体堡垒机的方法,一种采用服务器、审计软件两层架构的方法。

4.1 一体堡垒机功能

(1)单点登录功能:支持对Windows、LINUX、UNIX、数据库、网络设备、安全设备等一系列授权账号进行密码的自动化周期更改,简化密码管理,让使用者无需记忆众多系统密码,即可实现自动登录目标设备,便捷安全。

(2)统一的账号管理:能够对所有服务器、网络设备、安全设备等账号进行集中管理,化繁为简,实现对维护管理员的统一审核。

(3)资源授权:设备提供基于用户、目标设备、时间、协议类型IP、行为等要素实现细粒度的操作授权,最大限度保护用户资源的安全。

(4)访问控制:设备支持对不同用户进行不同策略的制定,细粒度的访问控制能够最大限度的保护用户资源的安全,严防非法、越权访问事件的发生。

(5)操作审计:能够对字符、图形、文件传输、数据库等全程操作行为审计;通过设备录像方式实时监控运维人员对操作系统、安全设备、网络设备、数据库等进行的各种操作,对违规行为进行事中控制。对终端指令信息能够进行精确搜索,进行录像精确定位。

4.2 审计软件功能

新一代的审计软件克服了传统堡垒机的很多不足,如专用硬件不易维修、升级困难、不能实现应用和数据管控、不能对图像操作进行检索等,在继承了传统堡垒机的基础上又具备以下优点:

(1)应用管控。实现独立管控,不同人员获得使用不同应用程序的权限。

(2)数据管控。无论局域网操作者还是广域网远程操作者,在审计环境下可以看到数据,使用数据,但无法下载数据。

(3)高安全性。以客户端/服务器方式运行,将用户行为变为可视、可跟踪、可鉴定,保护重要数据的安全。

(4)集中审计,审计无盲点。实现集中审计、集中访问控制,对于企业重要系统和数据的管理,有非常重要的价值;

(5)准确追溯历史。在服务器上部署审计软件的科学方式能够将来访人员的行为完整的记录,并保存在服务器上,审计人员能够按照其想调查的时间点、调查的操作人、调查的内容进行选择,通过清晰的视频回放准确的定位操作行为。

(6)行为分析报表。能够提供准确、详细的审计报表,直观的展现历史过程。

此外,新一代的审计软件还具备更为可靠、先进的核心业务非法访问监测、恶意程序篡改进程、关键数据的访问监测、多维度的行为分析和查询、云终端用户操作等行为审计等功能。

5 审计系统的建设

鉴于石油化工系统的信息安全、数据保密的重要性,在设计企业信息安全防护系统时要充分考虑到架构是否能够有效的起到安全防护作用、规范作用,是否能够为企业运营节省成本、提升企业运营效率等因素,因此在设计架构时要打破传统安全防护的壁垒,在创新发展与严密管控之间找到平衡点,充分发挥出架构的优势。

5.1 架构组成

架构由三个部分组成,分别是客户部分、集中访问控制部分、信息系统部分(见图2)。

(1)客户部分,包括IT管理人员、IT运维人员、IT外包人员、审计人员等。

(2)集中访问控制部分,这里是审计系统的核心控制区,包括行为审计应用产品、审计数据存储产品、访问控制程序区(SSH、Putty、SecureCRT、远程桌面等)。

(3)信息系统部分,包含企业的各个生产、销售、物料等信息系统。

5.2 架构设计

方案采用应用虚拟化技术+智能审计解决方案,采用行业中技术领先的CitrixXenapp+AuditSys审计产品,构建一个安全的集中访问平台,将用户与信息系统分隔开。

首先建立XenApp平台,将远程服务器和客户机上的应用程序部署到XenApp平台上,客户端设备只需通过IE就可以运行应用系统,多用户同时访问时,由XenApp管理应用客户端软件的多进程访问,并控制向不同用户的权限,服务器与客户端之间的数据传输只是屏幕变化和鼠标键盘的指令信息,而不传输任何实际操作数据,真实的数据传输发生在XenApp平台与信息系统部分之间,从安全性角度分析,这种安全性接近于物理环境隔离。

然后在XenApp平台上部署AuditSys产品,实现审计任何通过Xenapp平台访问的用户会话,也可以审计任何通过远程桌面、终端服务、PCANYWHERE等远程协议访问过来的会话,也可以审计通过KVM或者通过本地登的用户会话,通过与Citrix XenApp的无缝集成,不仅可以构建一个安全的远程集中访问平台,还可以对所有的用户会话,管理员维护操作等用户行为进行审计。

所有的行为审计过程需要完整的记录并保存,这里部署了Auditsys App Server,保存了Auditsys记录的完整的行为过程,为检查人员、审核人员的安全检查提供可靠依据。

5.3 架构优势

XenApp集中化方法将所有应用程序和数据存储都集中在数据中心服务器上,并把数据的管理严格控制在数据中心。

该方法从安全角度和先进角度出发,在安全防护方面做到了数据的不可复制,在该架构下,只有用户界面、键盘敲击和鼠标操作等小量交互信息通过网络传输,且都是经过加密处理的。

XenApp上的应用程序需要上层管理者授权才能使用,保证了应用的管控和规范使用。

客户部分使用计算机在完成数据操作时,只能够看到所使用的数据,真正的数据依然存放在集中访问控制部分和信息系统中,充分做到了数据的安全防护。

AuditSys具备功能强大的数据搜索引擎,支持细化的组合查询、多条件选择查询,帮助用户快速完成记录搜索。

6 总 结

信息化是企业工业生产的重要驱动力,是企业可持续发展的重要因素,互联网+工业是未来工业发展的方向,且工业信息化发展的前提又是信息安全,因此,企业信息安全防护系统做的好不好,企业信息安全管理规范,直接作用于企业的工业信息化发展,进而影响企业的发展动力、产品创新、技术产品等多个方面。而信息安全体系中,人员的管控的是最复杂、最困难的,信息工作中,能否通过有效的安全系统及时有效的发现、制止信息泄密事件,做到未雨绸缪;能否在发生泄密事件后,准确的查出泄密原因,找出泄密人员,亡羊补牢,这尤其需要企业在信息安全工作中重点考虑,以保证企业的信息安全防护系统坚固、夯实,以保证企业的信息化发展健康、稳步。

主要参考文献

[1]邓小榕,陈龙.安全审计数据的综合审计分析方法[J].重庆邮电学院学报:自然科学版,2005(5).

[2]许霆,袁萌,史美林.网络监控审计系统的设计与实现[J].计算机工程与应用,2002(18).

[3]邓瑛,常国岑.网络安全监控与审计系统的设计与实现[J],计算机工程,2002(12).

[4]张俊良.基于信息过滤的网络安全审计系统的研究与实现[D].西安:西北大学,2009.

[5]曹晖,王青青.新型数据库安全审计系统[J].计算机工程与应用,2007,43(5):163-165.

[6]王渊,马骏.一种基于入侵检测的数据库安全审计[J].计算机仿真,2007,24(2):33-36.

[7]高彩容.基于数据挖掘的网络安全审计技术研究[D].西安:西安电子科技大学,2008.

[8]韦猛,程克非.基于主机信息内容审计系统的设计与实现[J].重庆邮电大学学报,2008,20(6):725-728.

[9]范红,邵华.应用系统安全审计检测研究[J].信息网络安全,2012(8):170-172.

篇6

“十三五”期间,中国集团企业将从应用、技术、信息资源、安全、IT管控五个方面完善和优化信息化战略。

构建以“四链融合”为核心的信息平台

在国家强化“两化”深度融合、工业4.0的大背景下,构建以生产精益、供应协同、产融倍增、决策灵活为特点的“四链融合”信息平台,优化原有的横向到边、纵向到底的一体化应用系统,将成为“十三五”期间集团企业信息化建设的一大重点。

所谓“四链融合”指的是通过智慧决策信息平台、智慧营运信息平台、智慧金融信息平台和智慧物流信息平台的有机结合,实现管控链、生产链、价值链和供应链的融合,有效创新商业模式,大幅提升集团的竞争力。

通过智慧决策信息平台实现管控链的协同化、高效化、智慧化管理,通过管控链将企业战略有机融合到物流、生产、金融等各环节,发挥总部在企业整体运营中的服务、指导、管控等作用;通过智慧营运信息平台实现生产链的一体化、可控化、智能化管理,打通营销、生产、供应、物流的信息命脉,支撑高效、安全、环保的生产经营,发挥生产在战略中的主体作用;通过智慧金融信息平台实现价值链的感知化、智能化、高端化管理,对内实现成本的有效控制,对外发挥金融资产的价值最大化,体现金融在战略中的重要作用;通过智慧物流信息平台实现集团供应链的可视化、动态化、智能化管理,打通营销、商贸、物流、生产、金融的信息命脉,创新商业模式,发挥物流在战略中的重要作用。

以“大云平移”为核心构建全新基础设施

在技术方面,“十三五”期间,集团企业要以“大(数据)云(计算)平(台)移(动互联网)”为核心的现代信息技术,构建全新基础设施。

在大数据方面,将实现“大量数据”向“大数据”的转变。大数据全生命周期管理包括大数据获取、存储、组织、分析和决策四个阶段。

大数据平台的建设可以围绕结构化和非结构化数据管理两个方面进行规划。实现传统结构化数据管理模式与非结构化数据管理模式的有机结合,是大数据管理平台得以发展和推广应用的关键因素。要充分利用高度可扩展的Hadoop大数据处理系统和MapReduce技术,实现新旧数据、新旧信息系统、新旧软硬件资源的有效利用,实现大数据的深度分析应用和新知识的发现。

在云计算方面,构筑更为灵活的混合云架构支撑应用融合。企业新业务的拓展很大程度上依靠灵活的IT架构来作为支撑,使得混合云应用更加广泛。为了在周期性的IT能力需求波动和业务安全之间取得平衡,集团企业应该为核心业务打造私有云平台,而将支撑边缘性业务和新业务的系统迁移到公有云平台。在此背景下,如何实现公有云和私有云之间的整合将成为一大挑战。私有云和公有云的集成需要从服务器点对点连接、底层存储集成、数据同步、消息同步等方面实现。

在平台方面,要利用电商平台优化企业管理模式,提高生产率,降低经营成本,优化资源配置。电商并不是简单地将传统商业模式复制到互联网上,而要结合企业自身优势与特点,充分考虑销售、渠道等多方面因素,构建多主体共享的商业生态体系,借助网络效应实现多主体的商业共赢。电商的应用可以实现信息共享,对市场需求做出快速反应,拉近与终端消费者的距离,缩短供应链,实现按需生产,驱动产品创新,实现全球采购和营销,促进组织的扁平化。

移动应用+互联网

深度推广企业移动应用建设。通过移动办公和掌上运维等传统业务运营支撑类移动应用,实现涉及企业内部计划、组织、领导和控制过程的内部管理的移动应用,提升决策水平,降低管理成本,强化精细化管理。在内部应用建设完善的基础上,充分利用移动应用覆盖面广、到达率高优势,创新业务服务模式,将业务模式从传统营销模式向移动终端营销转移,实现精准营销。

企业互联网时代正式开启,企业聚力互联网转型,抢占未来产业高地。“十三五”期间,互联网将发生重大变化,移动互联网应用将全面深入,在企业生产、经营、管理等各环节的应用将普及,产业互联网时代将正式开启。大批企业将通过“十三五”信息化规划,着力将互联网融入企业生产、经营、管理的各个环节,实现互联网转型。

当前以互联网金融、O2O、P2P等为主要形式的网络经济对传统经济的冲击越来越大,这就要求处在爬坡过坎、结构调整关键时期的集团公司,必须高度重视和尽快融入信息化带来的第三次工业革命浪潮中。随着集团公司创新战略的深入实施,产业链的延长和拓展,相应的管理面将不断扩大,这就要求集团企业尽快建立适合集团战略转型和产业发展的信息化系统。

集团编码落地和信息资源整合

以集团主数据项目为抓手,实现集团编码落地和信息资源整合。在集团范围内建立统一的信息资源编码体系,落实集团统一的信息编码规则,实现信息的唯一性、统一性,避免数出多源、信息失真、信息缺失,促进公共信息资源共享,并支持集团财务穿透查询、人力资源综合统计等业务的开展。

集团企业应该通过主数据管理系统的建设,统一管理整个集团的重要信息,如人员、产品、组织、岗位职责等信息,确保重要信息在跨板块、跨公司、跨业务系时的一致性,实现重复应用和信息共享。

以生态圈安全为出发点设计安全架构

信息安全环境与信息技术突破带来信息安全架构设计理念的变革。随着国家对信息安全重视程度的提高,企业面临越来越多来自政府、行业组织和自身战略的合规性要求。同时,信息安全的建设要适应云计算、社交网络、移动互联网、物联网、大数据等技术的普遍应用。信息安全已经成为企业参与市场竞争的基础能力,企业需要从架构层面考虑如何应对安全管理与安全技术方面的挑战。

安全架构设计的重点从自有封闭系统安全向安全生态圈建设转变。企业需要与上下游企业,以及安全管理机构和评测机构等第三方机构开展广泛的合作,在管理制度、流程、技术手段等方面进行协作,确保企业安全目标的实现。

从被动式服务向主动式服务转变

篇7

    随着我国通信业和信息化的发展,通信网络作为传递信息的一种重要载体为大家所熟知。在全球信息化进程中,通信网络的普及和演进也潜移默化地改变着企业的信息沟通方式。因此,通信网络在企业发展中起到至关重要的作用,而电力企业作为我国经济发展的领跑者,通信网络技术的发展也势在必行。但是,电力企业在发展的过程中也面临着巨大的潜在危险—企业信息安全问题。通信网络安全是指最大限度地减少数据和资源被攻击的可能性。对于电力企业来说,这些数据和资源是企业的命脉,通信网络一旦发生中断、瘫痪或拥塞,或者数据信息丢失、泄露或被非法篡改,将对企业和社会的经济生活造成严重影响。因此,通信网络的信息安全是电力企业发展的重中之重,如何做到通信网络与信息安全有效的结合、共同发展是我们需要考虑的问题。 

    二、通信网络与信息安全息息相关

    电力企业信息安全与通信网路的安全息息相关,也是国家信息安全的重要组成部分。在电力工业信息化进程中,通信网络承担着三种角色:

    1.信息通信网络公共平台提供者,对不同性质的计算机应用系统可以提供不同的网络服务质量和优先等级。

    2.与业务管理有关的计算机应用系统的建设、管理和使用者,其中的计算机应用系统包括通信监控与网管系统、网络规划与企业管理系统和客户服务系统等。

    3.与通信技术相关的信息资源的开发、维护和使用者。

    因此,通信网络承载着电力企业生产、运行、管理、经营业务系统,内联着电力调度数据网络,对外与Internet连接,它的安全是电力企业信息安全的第一道技术防线,电力企业信息安全直接关系着电力企业的运行与管理,也直接或间接地影响着电力生产控制系统的安全。电网企业应全面开展绿色通信网络安全防护体系建设,统筹部署等级保护、风险评估和灾难备份工作;着力提升通信网络安全保障水平和应对突发事件的能力;要通过通信网络与信息安全管理能力的增强,更好地为电网企业的发展提供有力的技术支撑,为促进社会和谐与稳定做出积极的贡献。 

    三、新形势下的绿色电力通信网络

    目前,大部分企业部门间依靠普通的网络来完成信息传输,虽然也具有一定的防护措施和技术,但还是容易被窃取信息。这是由以下三个方面原因共同决定的:

    1.计算机系统及网络固有的开放性、共享性等特点;

    2.通信系统大量使用商用软件,其源代码、源程序完全或部分公开化,使企业存在安全问题;

    3.计算机病毒的层出不穷及其大范围的恶意传播。

    这三方面原因都对当今企业和社会网络通信安全产生不可估量的威胁。由于当今通信网络功能越来越强大,我们采取何种有效措施,最大限度地化解这种潜在危险,把网络风险降到最低限度是电力企业需要面对的重大问题。

    在电力企业发展的新形势下,构建绿色通信网络成为解决电力企业信息安全的重要手段。绿色通信网络构建主要包括,一方面要建立健全企业的安全机制,强化安全管理;另一方面,技术创新也是当务之急。

    在技术层方面,首先是建立一个层次化的安全管控体系。为了从技术上提高通信网络的安全性,电力企业应整合现有资源,提高企业通信网络的预防水平、网络的修复能力和备份能力。具体内容包括:网络安全漏洞的自动发现与治愈、全网联动的事件监控和分析、网络安全配置的集中化和管控、安全态势的综合分析以及高效运作网络安全管理等方面。这是一个涉及体系架构设计、资源配置和局部解决方案在内的系统解决方案,需要建立相应的安全技术体系;其次是对电力企业的IP承载网进行安全的设计和优化,然后通过安全管理中心的建设来完善绿色通信网络的安全能力。

    在管理层方面,针对计算机系统及网络固有的开放性、易损性等特点,我们应加强网络管理人员的安全观念和技术水平,将固有条件下存在的安全隐患降到最低。在通信网络管理和使用中,要大力加强管理人员的安全保密意识。在管理层面上主要包括安全组织的建设和人员的保障,各种安全策略制度和流程的配套建设,以及完善安全评估、应急响应等安全保障机制。其中在应急响应方面,需要建立健全信息安全应急处理的协调机制,进一步完善各类突发事件的应急预案,健全应急指挥体系,落实应急队伍和保障条件。尤其是高度重视基础信息网络,包括电信网络和重要信息系统的应急处理工作和备份建设,充分做到了事件有预案、处置有流程、应急有措施,最大限度地化解信息安全风险。 

    四、绿色通信网络规划助力电力企业信息化安全

    规划绿色通信网络是电力企业通信建设的基础和安全保障,具有十分重要的作用。绿色电力通信网络的规划除了要遵从电力系统的有关规定之外,还必须遵循通信专业规划的技术方法。因此,绿色通信网络应该包括传送网络层和业务网络层等,而电力企业中绿色通信网络的规划和构建大致包括以下三个步骤:

    第一步:业务网络规划。业务网络规划主要是对提供不同信息服务的,包括数据网、计算机网和移动通信网等类型丰富的网络进行规划,它与具体的业务有关。在电力企业中,业务网络规划尤为重要,而如何构建绿色移动通信网络也是企业发展的重中之重。电力企业在原有业务系统的基础上,构建网络安全体系,通过宣传和培训等手段,对网络管理人员进行安全操作和管理知识的培训,提高各业务系统的安全意识,使各业务系统能够正常稳定的运行。

    第二步:传送网络规划。传送网络规划是为业务网络提供支撑的涵盖交换机、服务器、数据传输的无线和移动网络等进行规划。在“十二五”规划中强调了电力企业信息系统的安全管理和网络安全传输问题,其中电力企业信息系统的网络安全更是被提上日程,如何更好的规范和规划传输网络层是我们研究的重点问题之一。按照信息系统网络数据传输过程中安全性和保密性的要求,完善监控设施做到实时监控,并确保管理人员不将保密文件传到外网,不能利用内网机器上外网进行查资料等操作,确保信息系统在数据传输过程中的安全性。

    第三步:基础设施规划。基础设施规划主要是对信息系统中计算机、服务器等硬件基础设施进行规划管理,而这部分是保障信息系统正常运行的基础。在电力企业中,服务器的承载量是相当大的,在信息传输的过程中数据的提取和录入也是呈倍增长的,只有实时监控路由器的异常情况,定期更新路由器设备,完善基础设施,才能保证整个系统和网络的稳定性。

    绿色通信网络规划中还需要考虑网络综合化与安全防护、灾难预防等问题,在满足通信网络规划中多需求的前提下,采取灾难预防措施,做好企业信息安全防护,保障电力企业绿色通信网络的顺利构建,实现绿色电网企业的发展要求。 

篇8

“云”化安全产品

更可靠

“我认为,云计算时代的到来有助于改善信息安全的状况,更利于企业保证信息的安全。” 赛门铁克首席信息安全技术顾问林育民说。

林育民认为,在云时代,数据和应用程序都保存在“云”端,由云服务供应商或内部私有云管理部门提供技术支持,这种集中管控对信息的安全是有利的。内部私有云比多个业务部门自行运维系统,来得更安全、经济且有效率;此外,云服务提供商往往比大多数企业自己更有能力做好企业信息安全的保障工作。这是因为云服务商更有资金实力去请有足够经验的安全人员,来提供7×24小时的安全保护;而且由云服务商提供安全服务更经济。另外,云服务商为展现自身的信息安全管理能力,大多主动遵循相关规范(如ISO 270001、SAS 70 Type2等)并积极通过国际标准组织认可的独立第三方认证,且有独立第三方对云服务商进行审计和监管,这客观上也促进了云服务提供商改进自己的安全及服务水平。

“不管是技术实力还是资金实力,云服务商的云环境其安全水平都要好于企业自己的IT环境;而且云服务商业务持续增长与永续经营中重要的关键就是信任二字。”林育民说。

当然,用户对数据安全和隐私方面的担心也并不是多余的。要消除用户的担心,首先是云服务商要提升自己的品牌信任度,进而提升用户的信心,让用户愿意将信息交付给第三方。林育民解释说,已有许多全球500强公司开始采用各类SaaS云服务,因为这些云服务商已建立完善的安全制度及品牌形象,取得了用户信任。比如,赛门铁克的CRM就选用了公司的云服务。在中国市场,云服务提供商仍在完善云环境的安全防护与建立可信的品牌形象,中国用户还不太放心将自己的敏感信息保存在第三方,所以国内目前仍着重于私有云的建设;但随着安全制度与法规逐步的完善、安全技术的进步,用户对公有云服务的疑虑将逐渐降低,未来公有云服务将在国内逐步兴起。

另外,安全产品的“云”化也会提升安全产品的功能。根据赛门铁克的统计,2009年新发现的恶意代码中,有57%仅出现在单一计算机中。这意味着传统被动式病毒签名扫描已无法有效应对新兴的安全威胁;而近年来新提出的主动式防御概念,对于采用社交工程技术的欺诈软件也无法有效应对。随着云计算技术的出现,安全防御不只从被动转为主动,更是从主动转为预测式防御,安全防护厂商不需要分析恶意代码样本即可预测其是否可能为恶意代码,大幅缩短了用户的防护空窗。此外,由于云安全服务厂商通过云计算技术对流量做实时分析,可提供前所未有的安全防护能力。以赛门铁克云端信息安全服务为例,该服务可对用户做出100%防护已知与未知的承诺,若是违反服务水平协议,将对用户做出赔偿。

应对虚拟化挑战

云时代的到来虽然为企业信息安全水平的提高提供了更为有利的条件,但并不意味着云计算就没有给企业安全带来挑战。事实上,云计算时代,信息安全面临着一些新的威胁,其中最为突出的就是虚拟化。

据林育民介绍,作为云计算基础的虚拟化的确给安全带来很大的挑战:因为安全厂商传统的产品都是针对物理服务器,可是到了虚拟化环境中,很多状况发生了改变。这些挑战主要体现在以下几个方面:在虚拟化的世界里,服务器就是一个个文件、而不再是一个独立的服务器,这个服务器(或者说文件)很容易被别人带走,风险更高了;当很多虚拟机运行在物理服务器上时,这些虚拟服务器的管理员的工作往往也接手了虚拟化网络环境的管理,这就意味着管理员的权限增加了,需要重新规范管理员的权限;虚拟化平台(Hypervisor)的引入可能成为新的安全漏洞,一旦黑客攻破了它,就意味着黑客将掌控虚拟化平台上运行的所有虚拟机;此外,虚拟机的镜像管理也可能成为新的安全漏洞。比如,在两次快照之间升级了系统后,由于某些原因可能需要退回到前一个没有进行系统升级的快照,此时,系统升级就可能被疏忽掉。

实际上,保护虚拟化环境的安全已经成为了不少安全厂商的市场重点。比如,赛门铁克就围绕虚拟化环境的安全推出了很多安全产品,包括对管理员在虚拟化环境中的权限进行管控与审计的工具,以及通过部署专门的安全虚拟机来保护各个虚拟机的安全,从而避免在每个虚拟机上都部署一套安全产品,减少防护空窗并提升虚拟环境运作效率。另外,还有帮助企业对虚拟化环境进行合规性检查的各种工具等。

篇9

近日,有媒体报道每年有数万个境外IP地址作为木马,参与控制了我国境内近千万台主机,如此庞大的数据让我们触目惊心。而最近众多“泄密门”“后门”事件的发生,更让我们看到企业的信息安全状况不容乐观。很多企业都意识到解决企业信息安全问题迫在眉睫,有的企业在大力加强企业信息安全体系的建设,针对信息安全设备进行全面检查,并且做出了相应的措施。2005年中国昆仑工程公司信息管理部为保障数据安全曾对某重点专业部门的台式电脑进行改造,全部升级为无盘工作站,拆除了所有个人用户电脑中的硬盘,电脑系统以及所有数据都在数据中心的服务器中运行和存储,从而保证数据的安全性,获得较好效果,并且获得省部级奖项。无盘工作站的工作方式就是在数据中心部署一台服务器,这台服务器作为系统搭建的平台,个人终端通过网络连接到服务器上。个人终端只有如主板、内存、电源等必备硬件却没有硬盘,网卡必须带有可引导芯片。在无盘工作站启动时网卡上的可引导芯片从系统服务器中取回所需数据供用户使用。所以,无盘工作站其实就是把硬盘和主机分离,无盘工作站只执行操作不执行存储,故不会对文件造成窃取或者遗失。由于无盘工作站不需要硬盘等存储设备,减少了硬件的投入与维护,启动和运行速度快,系统不被破坏、能自动还原、无需重装系统。但是无盘工作站则完全依赖网络和服务器的支持,一旦网络或服务器中毒或因为某些原因无法运行,将会导致全网瘫痪。并且存在个人隐私得不到保障、服务器成本投入过高、对网络质量要求高、占用过多网络带宽等缺点。

2文件加密技术在企业中的应用

为了避免企业局域网出现信息泄密,造成严重的损失。很多企业都对文件做出了严格的管理制度以及多种监控手段,其中对数据传输与载体的管控成为最广泛最简单的措施。近年来一直使用的包括无盘工作站,封锁USB口,封锁光驱,网络控制等等方式都是以切断数据传输以及管控数据载体为手段的技术办法,但是这种物理隔绝的信息保护机制非常落后,“一刀切”的方式不仅改变了用户操作习惯,还严重影响了非机密数据的传输,导致工作流程繁琐。在这种情况下我们决定尝试采取特定文件全自动加密技术,这种加密方式不会改变用户的操作习惯,并且能够做到强制性加密。当用户打开或编辑指定文件时,系统将自动对未加密的文件进行加密,对已加密的文件自动解密。不需要对文件的传输做任何限制,也不用担心文件通过任何方式被复制到别的地方。因为文件在任何载体上都是以密文的形式存在,只有在加密系统的硬件内存中是明文形式,所以一旦离开终端用户的电脑系统,加密文件无法得到自动解密的服务而无法打开,起到保护文件的效果。全自动文件加密系统主要分为服务器端和客户端,服务器端主要是记录用户资料、给用户分配权限以及管理用户文件的密钥信息等。客户端主要负责与服务器进行交互,对登录系统的用户进行身份认证、获取文件加/解密密钥及生成控制文件等,同时将客户端处理的信息交给服务器。全自动文件加密系统能够自动识别每一个登录到局域网内部的用户并进行身份验证,只有具有权限的用户才能操作文件。因为机密文件在电脑的硬盘上是以密文形式存在的,只有用户拥有操作文件的权限才可以看到明文信息,否则将会是乱码。该系统具有加密制定程序生成的文件、泄密控制、审批管理、离线文档管理、外发文档管理、用户/鉴权管理、审计管理、自我保护等功能。2013年10月已在某专业设计部小网中部署了该文件加密系统并已使用,今年计划在全网部署该系统。目前的加密策略为自动加密+全盘扫描,加密的文件类型为CAD,Word,PDF,Excel。即后台扫描该电脑部署文档机密系统前的所有历史相关类型文件并进行强制自动加密,对于新文件,打开相关类型的文件也会自动加密,有效实现了公司数据的保密,增强了信息系统的数据安全性。

3结语

篇10

[关键词]企业安全;信息管理;设计;实现

doi:10.3969/j.issn.1673-0194.2015.08.057

[中图分类号]TP311.52 [文献标识码]A [文章编号]1673-0194(2015)08-0075-02

近年来,企业安全事故层出不穷,信息安全引起了越来越多企业管理者的重视,成为各个企业不容忽视的关键问题。为了加强企业信息安全,不少企业开始设立独立部门对企业的信息安全进行专业管理,并开始培养专业的信息安全管理人才。

1 企业安全信息管理平台的问题

1.1 安全意识不强

企业要重视信息安全并实施管控,信息安全管理的成败取决于员工的安全意识。人员安全意识欠缺,导致政令不通,监督不力,执行不畅,往往导致信息外泄、系统故障等安全事故。只有树立直接执行人员牢固的信息安全意识,形成企业安全文化,企业信息安全才能真正长治久安。员工信息安全意识的提升并非一日之功,也不是通过简单的一两次培训就能奏效,而是一项持续的、长期的、有计划的、多种方式并用的综合性工作。信息安全意识提升面向企业广泛的受众,其内容涵盖信息安全相关各个领域,重点针对员工日常工作和个人行为,关注各种可能因个人行为不当或警惕性不强而引发的信息安全隐患和事故。由于目标对象的不同,信息安全意识提升内容会呈现出不同的形式、程度,从简洁明了的宣传语,到浅显易懂的安全提示,再到全面具体的安全手册,建立企业专门的信息安全知识库,满足不同方面和不同层次的需要。

1.2 缺乏专业人才

随着经济社会的不断发展,企业对于信息安全管理人才的需求也越来越大。任何组织都是由人组成的,没有人才,组织就不能取得长远发展,更谈不上不断进步和自我完善。企业的发展需要不断补充新的人才。对于多数企业来说,信息安全管理人员的素质决定了单位能否长远发展。信息安全管理是最近几年才兴起的,很多企业还没有配备相关人才,不少高校也尚未开展相关专业,培养信息安全管理方面的人才,国家对于信息安全管理专业的投入也不够。社会整体尚未形成重视信息安全管理的氛围。目前,不少企业的信息安全管理人员十分匮乏,很多企业没有专门的信息安全管理机构,因此也没有配备相应的信息安全管理人员。只有少数企业认识到信息安全管理的重要性,设立了相应的信息安全管理机构。但在这些企业当中,多数企业的信息安全管理机构十分简陋,相关设备也不够健全,专业人员的配备也存在缺失,有的企业虽然配备有信息安全管理人员,但这些人员多数没有接受过系统的知识培训,经验不够丰富,责任心不强,不能履行信息安全管理人员的基本职责。信息安全管理人员素质不高和专业人才的缺失,是企业的发展的阻碍,严重影响了企业的长远发展。

1.3 监管制度缺失

完善、科学的信息安全监管制度对于企业的发展具有十分重要的意义和作用。行为规范制度是指导工作人员进行相关操作的准则和办法,只有建立一套系统的信息安全监管制度,才能规范信息安全管理人员的行为,使操作有据可依,信息安全管理人员对自身行为负起责任。目前我国信息安全管理制度仍不健全,不少企业没有建立起一套完善的内部控制制度,使得很多行为没有操作依据,信息安全管理人员的行为无法有效约束,出现了许多不负责任的行为。这些行为不仅阻碍了企业的发展,也影响了企业的声誉,不利于后续工作的开展。因此,必须建立健全企业信息安全监管制度,为企业后续活动的开展提供保障。

1.4 管理技术落后

信息安全管理需要先进的管理技术和安全技术,为信息安全管理提供有力的技术支持。企业在发展过程中,开发了一系列信息安全管理技术和管理技巧,发挥了一定的作用。但随着经济社会的发展和科技的日新月异,不少技术已经无法跟上时代步伐,很多技术面临淘汰。这些管理技巧不但不能给企业带来益处,反而有可能影响企业的信息安全。因此必须紧跟时代步伐,了解最新的信息安全管理技巧,结合企业实际情况,开发符合时代要求的管理技巧。同时,积极了解最新科技动态,将适合于本企业的技术运用到企业的信息安全管理过程中。

2 如何完善企业安全信息管理平台设计

2.1 增强信息安全管理意识

提高信息安全管理意识是完善企业信息安全管理的重要前提和关键因素。只要具备良好的内部安全控制意识,才能顺利开展后续工作。企业管理者必须深切意识到信息安全管理对于企业发展的重要性和必要性,加大投资力度,及时发现企业信息安全管理中存在的问题和不足。必须加强对企业信息安全管理的重视,切实意识到信息安全管理对于企业发展的重要性,加大资金投入,确保企业信息安全管理良好运作。

2.2 加强人员的素质培训

人才对于企事业单位的发展具有不容忽视的作用。单位的竞争归根结底是人才的竞争。信息安全管理人员的素质对于企业的发展具有重要作用,具有良好素质的信息安全管理人员可以促进企业的快速发展。企业必须重视对信息安全管理人员的培训和投资。信息安全管理人员的投资包括设备的更新,资金的投入和专业教育的提升。同时,要鼓励信息安全管理人员学习最新的信息安全知识,不断更新已有知识,紧跟时代的步伐。企业不仅要注重提高信息安全管理人员的专业素养,也要重视对企业信息安全管理人员的道德培养。只有专业知识而缺乏道德素养的工作人员,不仅不能给企业带来效益,反而会危害企业发展,因此必须重视企业信息安全管理人员的道德素养。信息安全必须不断加强对信息安全管理人员的培训,切实全面提高信息安全管理人员素质,增强信息安全管理人员灵活处理各项事务的能力,不断巩固自身基础知识,培养信息安全管理人员的责任心和创新精神,真正做到与时俱进。只有不断提升企业的信息安全管理人员素质,才能从整体上提升企事业单位的安全管理工作效率,促进企业的长远发展。

2.3 强化信息安全监督管理

监督工作对于企业的发展具有重要作用和意义。良好的监督是企事业单位正常活动的前提。没有完善的监督体系,企事业单位很难确保业务的正常开展。企事业单位应强化信息安全监督工作,建立相应的监督管理机构,对企业内部各项经济活动进行有计划地控制,及时发现企事业单位存在的问题,同时应加强信息安全管理工作,不断提升工作效率。凡事预则立,不预则废。除了做好信息安全管理的内部监督工作外,不断加强信息安全管理的外部监督工作也是十分重要的环节。外部监督主要包括新闻媒体监督和社会大众监督。企事业单位管理者要认识到内部管理的不足之处,认真改正有缺陷的地方,不断完善内部控制建设。同时,也要不断加强新闻媒体的监督作用,发挥舆论的监督作用。内部控制是一项巨大的完整的工程,具有完善的体系和结构,必须保证每个环节落实到位,才能确保整个体系的良性运行,从而发挥出最大的效益。

2.4 提高信息安全管理技巧

除此之外,信息安全管理技巧对于企事业单位的发展具有重要意义。不同的控制技巧适用于不同的企事业单位,也会产生不同的效果。企事业单位采取适合本单位的内部控制技巧,可以提高企事业单位的行政效率。随着时代的发展和进步,传统的信息安全管理技巧已经不适用于现代企业。因此,企业必须根据时代的发展,提升自身信息安全管理技巧,摒弃旧有落后工作模式。另外,在实施信息安全管理技巧时,必须考虑到事业单位的实际运作情况,切忌生搬硬套。应根据企事业单位的具体情况,有针对性地提高信息安全管理的技巧,逐步解决企事业单位在实施信息安全管理时遇到的难题。

主要参考文献

[1]侯卫超.企业信息安全现状分析与管理对策[J].科技信息:科学教研,2007(28).

[2]王超,林峰.高校校园网络安全管理策略[J].科技资讯,2007(20).