审计信息安全管理范文

时间:2023-10-12 17:33:41

导语:如何才能写好一篇审计信息安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

审计信息安全管理

篇1

【关键词】建筑深基坑;基坑支护;技术管理

中图分类号: TV551 文献标识码: A

一、引言

随着国民经济的迅猛发展,建筑业蓬勃发展.城市中心为了节省建筑用地和满足停车位要求,各地人防管理部门、城市规划部门均要求新建工程必须按一定比例建设战时防空地下室平时作为地下停车场和设备用房的地下室。在给城市提供宝贵的建筑空间的同时.与基坑有关的安全事故也时有发生。轻者基坑边坡位移,周边道路、建筑物开裂;重者基坑整体失稳破坏.倾覆坍塌,人员伤亡,周边市政管网遭到破坏.毗邻房屋结构安全受到影响建筑深基坑的安全隐患和事故已经引起各级政府建设行政主管部门和业内人士的高度关注住建部于2009年5月印发《危险性较大的分部分项工程安全管理办法》(建质[2009]87号),文中要求深基坑支护设计方案及深基坑工程专项施工方案均必须通过专家论证会.可见其重要性。

二、中心城区建筑深基坑的特点

中心城区建筑深基坑主要有如下特点:基坑周边接近建筑用地红线.基坑支护不允许超越红线,基坑周边地下存在大量电缆、光缆、给排水管道、液化气管道和城市道路等基坑支护要求严格控制支护结构的位移和地面、管道的变形;基坑深度超过邻近建筑物基础的埋深.基坑土方开挖及降水不能影响邻近建筑的结构安全基坑周边需要材料堆场.可供材料、土方运输的道路受限,基坑支护要考虑该处的地面超载等等有的基坑边还存在古建筑或古树等,须重点保护。总之.城市中心区建筑深基坑工程的特点是周边环境因素复杂.须监测保护的项目多.基坑支护不仅要满足本基坑工程土方的开挖要求。同时还要保护好周边的环境。

三、建筑深基坑事故的主要表现形式和原因

(1)深基坑工程施工中的安全事故主要表现形式有:

1)基坑支护结构局部破坏.局部侧壁出现塌方,挡土桩出现开裂。

2)基坑截水帷幕功能失效.基坑大量进水或涌沙、涌泥。

3)基坑底部土体严重隆起。

4)基坑支护结构严重位移或破坏、或地下降水不当引起基坑周边道路、地下管线、建筑物变形、破坏。

5)基坑支护结构整体失稳坍塌,严重影响周边的环境

(2)引起建筑基坑工程事故的主要原因有:

1)地址勘察单位提供的基坑岩土勘察资料不准确,不完整

2)设计单位提供的基坑支护设计方案不合理或存在严重的安全问题

3)施工单位对基坑工程不重视,未按规定编制可行的施工方案而随意施工

4)基坑工程施工方案存在严重的缺陷

5)施工单位虽编制了切实可行的施工方案,但是在施工中为了省造价或赶工期而未按方案实施。

6)监测单位提供的监测资料不及时或资料有误、不完整

7)基坑工程施工中遇到突发事故没有切实可靠的应急处理方案

8)其他不可预知的因素或自然灾害引起的基坑事故

四、建筑深基坑工程安全控制要点

(1)建筑基坑工程岩土勘察报告应准确完整岩土工程勘察报告(以下简称勘察报告)是基坑支护设计方案和降水方案的重要依据.其是否准确完整将对基坑支护设计方案产生重大的影响。勘察报告应满足《建筑基坑支护技术规程》JGJ120―2012要求的深度,如基坑勘探点的位置、深度、间距,各含水土层地下水的埋深分布、水量大小、变化幅度、渗透参数、影响半径等。《勘察报告》应提供“基坑支护主要参数值”,如各土层的重度、内聚力、摩擦角、桩周土的侧阻力特征值等。《勘察报告》还应查明基坑周边环境条件,如周边建筑的结构类型、层数、位置、基础形式、埋深;周边地下管网的分布、埋深;周边道路的位置、宽度、道路行驶情况、最大车辆荷载等.并提出基坑支护的建议方案

(2)建筑深基坑支护设计方案应做到技术先进、安全可靠、经济合理、切实可行。

l基坑支护设计方案对基坑工程的安全起关键性作用。基坑支护设计.其核心是为地下室基坑土方开挖施工提供技术支持基坑支护设计方案主要包含如下内容:

①用于基坑挡土的支挡结构设计;

②用于排水、隔水的地下水处理方案:

③用于土方分层开挖的侧壁支护方案:

④对周边环境的保护方案;

⑤对支护结构、工程桩、周边环境的监测方案等。

2)基坑支护设计执业人员应具备一定的岩土工程和建筑结构专业知识以及丰富的实践经验.并以科学严谨、认真负责的工作态度进行方案设计。

一级基坑工程支护应由注册岩土工程师和一级注册结构工程师联合设计基坑支护设计方案要做到技术先进、安全可靠、经济合理,确保基坑工程及周边环境的安全.主要考虑以下几个方面:

①基坑支护设计前.要仔细研究勘察报告的有关内容,并到现场查明基坑周边环境条件如基坑所处位置的地形、地貌、地质成因、各土层的物理指标,水位的高低及水压力的大小:基坑周边建(构)筑物、地下管网、道路等情况。对勘察报告描述不清或数据明显有误的地方.要求提出专项勘察.补充修正。

②支护设计方案比选。应针对基坑深度、规模、周边环境的情况尽可能设计多种方案.并进行技术、安全、经济比较后,选择安全经济型的设计方案。对于工程等级为一级.基坑开挖深度大于4m。或地质条件、周边环境和地下管线复杂,或毗邻建筑物安全的基坑工程.设计方案应聘请当地经验丰富的专家进行技术论证

③基坑支护设计方案应综合考虑工程地质与水文地质条件,主体地下结构要求,基坑开挖深度,降排水条件.周边环境对侧壁位移的要求.基坑周边荷载,周边建(构)筑物基础的类型、埋深、间距,周边道路、地下管线,当地施工工艺水平.基坑施工季节变化.支护结构合理使用期限等因素.做到因地制宜、因时制宜、技术先进、安全可靠、经济合理、切实可行目前国内沿海软土地区单层地下室常采

用的支护结构有重力式水泥土墙、土钉墙、复合土钉墙、排桩。两层及两层以上地下室采用排桩加内支撑,桩型有PHC管桩、钢筋砼灌注桩、拉森板桩、三轴水泥搅拌桩(SMW工法)内插型钢、钢管桩等,还有造价较高的地下连续墙.逆作拱墙等

(3)深基坑工程施工方法、土方开挖顺序应与设计工况相一致。

基坑工程施工前.施工单位应组织专业技术人员,依据基坑支护设计施工图、岩土勘察报告、主体地下结构施工图、项目总体施工组织设计方案、现行规范规程标准等资料编制施工专项方案方案中主要包含以下内容:

1)编制依据:相关法律法规、规范规程.施工组织设计,勘察报告,施工图等;

2)工程概况:施工总平图.工程等级.基坑开挖深度、基坑面积、周长,支护形式等:

3)施工方法:施工工艺,工艺流程。技术参数等:

4)施工计划:人员、材料、设备、机械计划.进度计划等:

5)安全组织:建立专项安全管理机构:6)质量安全保证措施:质量检测,检测方法,安全管理措施等:

7)降排水措施:

8)基坑及周边环境监测要求:

9)环境保护措施:

10)应急预案等:

11)相关附图及计算书。

如基坑工程属于住建部规定的超过一定规模的危险性较大的分部分项工程时.施工单位还要就该方案组织专家论证会。基坑土方开挖应与土钉、锚杆及降水施工密切结合.开挖顺序、方法应与设计工况相一致对于复合土钉墙施工必须符合“超前支护、分层分段、逐层施作、限时封闭、严禁超挖”的要求,做到动态设计、信息化施工。施工中遇到地质情况与勘察报告不符或未探明的地质等特殊情况。应及时与设计、相关技术人员和专家会商,制定相应的对应措施.出现危险征兆.应立即启动应急预案。

篇2

卫生监督信息系统信息安全技术体系建设,严格遵循等级保护第三级的技术要求进行详细设计、技术选择、产品选型、产品部署。技术体系从物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等5个方面进行设计。

1.物理安全

卫生监督中心现有南北两个机房,机房及相关配套设施面积总计160平方米。北机房部署等级保护第三级信息系统,南机房部署等级保护第二级信息系统,实现了第三级系统与第二级系统物理环境隔离。根据等级保护有关要求,机房均采用了精密空调、门禁系统、环境监测系统等设备设施及技术手段,有效地保证了机房的物理安全。

2.网络安全

主干网络链路均采用双链路连接,关键网络、安全设备均采用双机冗余方式,避免单点故障。采用防火墙、入侵防护系统、DDoS系统进行边界防护,各网络区域之间采用防火墙进行区域隔离,在对外服务区部署了入侵检测系统,在交换服务区部署了网络审计系统。在核心数据区部署了数据库审计系统,对网络行为进行监控和记录。在安全管理区部署安全管理系统,实现设备日志的统一收集及分析。

3.主机安全

所有服务器和管理终端配置了密码安全策略;禁止用户远程管理,管理用户必须进入机房通过KVM进行本地管理;所有服务器和管理终端进行了补丁更新,删除了多余账户,关闭了不必要的端口和服务;所有服务器和管理终端开启了安全审计功能;通过对数据库的安全配置,实现管理用户和特权用户的分离,并实现最小授权要求。

4.应用安全

卫生监督中心7个应用系统均完成了定级备案,并按照等级保护要求开展了测评工作。应用服务器采取了集群工作部署,保证了系统的高可用性,同时建立了安全审计功能模块,记录登录日志、业务操作日志、系统操作日志3种日志,并实现查询和审计统计功能,配置了独立的审计账户。门户网站也采用了网页防篡改、DDoS等系统。信息安全等级保护第三级系统管理人员及高权限用户均使用CA证书登录相应系统。

5.数据安全及备份恢复

卫生监督信息报告系统数据库服务器使用了双机热备,应用服务器采用多机负载均衡,每天本地备份,保证了业务系统的安全、稳定和可靠运行。其余等级保护第三级信息系统使用了双机备份,无论是软件还是硬件问题,都可以及时准确地进行恢复并正常提供服务。同时,卫生监督中心在云南建立了异地数据备份中心,每天进行增量备份,每周对数据进行一次全备份。备份数据在一定时间内进行恢复测试,保证备份的有效性。

二、信息安全管理体系

在开展信息安全等级保护工作中,我们深刻体会到,信息安全工作“三分靠技术,七分靠管理”。为保证信息安全等级保护工作顺利进行,参考ISO/IEC27001《信息安全管理体系要求》,卫生监督中心建立了符合实际工作情况的信息安全管理制度体系,明确了“统一领导,技管并重;预防为主,责权分明;重点防护,适度安全”的安全方针,涵盖等级保护管理要求中安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五大方面的要求。卫生监督中心建立了较为完善的信息安全责任制,设立了信息安全领导小组,领导小组组长由卫生监督中心主任担任,成员由卫生监督中心有关处室负责人组成,信息处作为信息安全工作办公室负责卫生监督中心日常信息安全管理工作。信息处设立了信息安全管理岗位,分别为网络管理员、系统管理员、应用管理员、安全管理员、安全审计员、机房管理员,并建立了信息安全岗位责任制度。此外,卫生监督中心依据上年度运维中存在的信息安全隐患每年对其进行修订,确保信息安全工作落到实处。

三、信息安全运维体系

在信息安全工作中,建立信息安全管理制度不是目的,要以信息安全等级保护有关要求指导信息安全运维实践。卫生监督中心结合实际情况,编制了《国家级卫生监督信息系统运行维护工作规范》,从运行维护流程、资源管理和环境管理三个方面进行了规范,将安全运维理念落到实处。运维人员在实际工作中,严格按照工作规范要求。利用卫生监督中心OA系统,建立了统一的服务台,实现了事件、问题的全流程闭环管理(即:发现问题、登记问题、解决问题、解决反馈、解决确认)。年均处理信息安全事件近百件,将信息安全问题消灭在萌芽阶段,有效地保证了信息系统稳定运行,保证了卫生监督中心信息安全目标和方针的实现。

四、信息安全等级保护实践经验

1.规范管理,细化流程

卫生监督中心从安全管理制度、安全管理组织机构及人员、安全建设管理和安全运维管理等方面建立了较为完善的安全管理体系。通过管理体系的建设,为国家级卫生监督信息系统运维管理工作中安全管理提供了重要指导。国家级卫生监督信息系统运维工作从安全管理体系的建设中吸取了很多有益经验,不仅合理调配了运维管理人员,落实了运维管理组织机构和岗位职责,而且细化了运维管理流程,形成了“二级三线”的运维处理机制。

2.循序渐进,持续完善

篇3

【关键词】电力企业信息安全管理策略

电力是国民经济的命脉,电力系统的安全稳定,不但直接关系到国家经济的发展,还对民众的日常生活有着巨大的影响。当前随着电力企业市场业务的不断开展,其与互联网的联系也越来越密切,但互联网存在着很大的自由性和不确定性,可能会给电力企业带来潜在的不安全因素。而当前电力企业的信息安全建设仅仅停留在封堵现有安全漏洞的阶段,对于系统整体的信息安全意识还不够。因此有必要对电力企业信息系统整体安全管理进行分析研究,有针对性的采取应对策略,确保电力企业网络信息可以实现安全稳定运行。

1做好安全规划

做好电力企业的网络安全信息规划需要做到以下两点:

(1)要对电力企业的网络管理进行科学合理的规划,要结合实际情况对电力企业的网络信息安全管理进行综合考量,从整体上对网络信息安全进行考虑和布置。网络安全信息管理的具体开展主要依靠于安全管理体系,这一点上可以参照一些国外经验;

(2)电力企业因自身的独特性质,需要使用物理隔离的方法将内外网隔离开来,内网方面要合理规划安全区域,要结合实际情况,将安全区域划分成重点防范区域与普通防范区域。电力企业信息安全的内部核心是重点防范区域,在此区域应当设置访问权限,权限不足的普通用户无法查看网页。重要的数据运行如OA系统和应用系统等应该在安全区域内进行,这样可以保证其信息安全。

2加强制度建设

安全制度是保障電力企业网络信息安全的关键部分,安全制度可以提升企业员工和企业领导对网络信息安全的意识,电力企业需要将安全制度作为企业的工作核心,要结合当前的实际情况,建立起符合电力企业网络信息安全的管理制度,具体操作如下:

(1)做好安全审计,很多入侵检测系统都有审计日志的功能,加强安全制度建设就需要利用好检测系统的审计功能,做好对网络日常工作的管理工作,对审计的数据必须要进行严格的管理,不经过允许任何人不得擅自修改删除审计记录。

(2)电力企业网络系统需要安装防病毒软件来保障网络信息的安全,安装的防病毒软件需要具备远程安装、报警及集中管理等功能。此外,电力企业要建立好网络使用管理制度,不要随便将网络上下载的数据复制在内网主机上,不要让来历不清的存储设备在企业的计算机中随意使用。

(3)电力企业的管理者要高度重视其企业的网络安全制度建设,不要把网络信息安全管理仅仅看作是技术部门的工作,企业中应建立起一支专门负责网络信息安全的工作领导小组,要做好对企业内所有职工的培训,最好能让每一名职工都拥有熟练掌握网络信息安全管理的能力。企业管理者要明确相关负责人的工作职责,定期对网络安全工作开展督导检查,管理制度需要具备严肃性、强制性和权威性,安全制度一旦形成,就必须要求职工严格执行。

3设置漏洞防护

随着当前计算机网络技术的迅速发展,很多已经投入运行性的网络信息系统和设备的技术漏洞也随着网络技术的不断发展而日益增加,这在很大程度上给了不法分子窃取电力企业网络信息系统数据的机会,对此电力企业需要做好以下两项工作:

(1)电力企业需要利用一些漏洞扫描技术来维护企业的网络安全,要对企业的网络信息系统经常开展扫描工作,从而及时发现系统漏洞并完成修复。这样可以提升企业网络信息安全系数,不但能阻断不法分子入侵企业信息系统的途径,还可以使企业避免需要经常性更换网络信息系统设备可能增加的经济负担,从而促进企业实现长远发展;

(2)电力企业需要提升对网络信息安全的风险防范意识,增强企业应对突发事件的应急处理能力,针对不同的信息安全风险需要设置好不同的预警机制。要定期检查企业的网络信息安全技术,防止网络安全漏洞的出现。还要及时做好对网络信息防护新手段的更新工作,从而提升企业网络信息系统的保护强度。

4提高管理手段

科学合理的企业网络信息安全管理手段不仅可以维持电力企业的工作进度,还能有效规避企业网络信息中所存在的安全隐患。提高企业网络信息安全管理手段需要做到以下两点:

(1)建立入侵保护系统IPS,提升企业网络信息安全管理指标。在电力企业网络管理系统中建立网络入侵保护系统IPS,可以为网络信息提供一种快速主动的防御体系,IPS的设计理念是对常规网络流量中携带的恶意数据包进行数据安全检测,若发现可疑数据IPS将发挥网络安全防御功能,来阻止可疑数据侵入电力系统的网络信息系统。与常规的网络防火墙相比,IPS具备更加完善的安全防御功能,其不仅能对网络恶意数据流量进行检测还能够及时消除隐患。此外,IPS还能为电力企业的网络提供虚拟补丁,从而预先对黑客攻击和网络病毒做出拦截,保证企业的网络不受损害;

(2)电力企业要加大对新型网络信息安全技术的研发投入,在组建企业网络信息安全系统时,要对系统各组成部分做严格检查,确保设备符合安全标准。对于组建网络信息系统所需要的设备和部件则必须要求供应商提供相应的安检报告,严防设备和部件的安全隐患。对于企业已投入使用的系统和设备,必须定期做好检查,以确保安全系统能够顺利有效的开展防护工作。

5总结

综上所述,本文通过维护电力企业网络信息安全管理的相关策略进行研究发现,运用做好安全规划、加强制度建设、设置漏洞防护和提高管理手段四项措施可以起到提升企业网络信息系统的保护强度、建立起符合电力企业网络信息安全的管理制度从而确保安全系统能够顺利有效的开展防护工作的良好效果,希望本文的研究可以更好的提升我国电力企业的网络信息系统的安全管理水平,为维护我国电力系统的安全运行做出贡献。

参考文献 

[1]郑玉山.电力企业网络和信息安全管理策略思考[J].网络安全技术与应用,2017(06):121+123. 

篇4

关键词:审计;信息化,安全保障体系;主机审计

审计是客观评价个人,组织、制度、程序、项目或产品。审计执行是以确定有效性和可靠性的信息,还提供了一个可内控的评估系统。审计的目标是表达人、组织、系统等的评估意见,审计人员在测试环境中进行评估工作。审计必须出示合理并基本无误的报表,通常是利用统计抽样来完成。审计也是用来考察和防止虚假数据及欺骗行为,检查、考证目标的完整性、准确性,以及检查目标是否符合既定的标准、尺度和其它审计准则。实现审计的信息化,有利于管理层迅速准确的做出决定,对于政企业发展、社会经济的进步都具有重要作用。目前,我国的审计工作尚存在性质认定模糊、工作范围过于狭窄等问题,有待进一步加强和改进。

审计的基础工作是内部审计,内审是审计监督体系中不可或缺的重要组成部分,是全面经济管理必不可少的手段,是加强任何机构内部管理的必要,推动经济管理向科学化方向发展的重要环节也是审计。因此说审计部门是其他监督部门不能代替的,促进党风廉政建设、加强对党政领导干部及管理人员的监督都可以通过审计来完成。审计应用与高新技术机构中,在防范风险中发挥着重要作用,也有助于领导层做出正确决策。

一、审计工作的现状及存在的问题

随着我国经济迅猛发展,审计监督力度不断增强,审计范围也不断扩大。当前,审计方式已由财政财务审计向效益审计发展,由账项基础审计向制度基础审计、风险基础审计发展,由事后审计向事中、事前审计发展。审计管理上建立审计质量控制体系,要求审计机关把审计管理工作前移,把质量控制体系贯穿与审计工作中。在此趋势下,传统的审计方法暴露出其效率低、审计范围小等劣势,使得完成审计任务,达到审计目标越发缺乏及时性。

(一)内部审计性质认定较为模糊。内部审计是市场经济条件下,基于加强经营管理的内在需要,也是内部审计赖以存在的客观基础。但是,现代内部审计的产生却是一个行政命令产物,强调外向。这种审计模式使人们对内部审计在性质认定上产生模糊,阻碍了内部审计的发展。内部审计很难融入经营管理中,审计工作很难正常开展,很难履行监督评价职能和开展保证咨询活动,因此就不能充分发挥其应有的内向的作用。

(二)内部审计工作范围过于狭窄。内部审计的目的在于为组织增加价值并提高组织的运作效率,其职能是监督和服务。但是,我国内部审计工作的重心局限在财务收支的真实性及合规性审计。长久以来内部审计突出了监督职能,而忽视了服务职能。内部审计认识水平、思想观念的束缚以及管理体制等诸多因素,影响和阻碍着内审作用的有效发挥。原因有会计人员知识水平、业务素质不高,也有不重视法律、法规的因素,还有监管不力、查处不严的原因。目前内部审计尚处在查错阶段,停留在调账、纠正错误上,还不能多角度、深层次分析问题,没有较国际先进的审计理念,我国内部审计的作用尚待开发。审计人员的计算机知识匮乏,不适应电算化、信息化的迅速发展。目前多数审计人员硬件知识掌握不熟练,软件知识了解也不足,因此不能有效地评估信息系统的安全性、效益性。由于计算机审计软件开发标准不同,功能也不完整,因此全面推广计算机辅助审计就有一定难度,导致审计人员的知识和审计手段滞后于信息化的发展。

二、信息化审计体系的健全

当前国家审计信息化发展的趋势是建立审计信息资源的标准化、共享化、公开化,逐步达到向现代审计方式的转变。这一趋势是随着当前科学发展、和谐社会的推进,国家确立的公共财政建设、公共服务的实施、公共产品的提供应运而生的,三个“公共”的主旨是:国家财政资金的使用更注重民生;使用重点更注重服务;使用效益更注重民意。

信息安全审计是任何机构内控、信息系统治理、安全风险控制等不可或缺的关键手段。收集并评估证据以决定一个计算机系统是否有效地做到保护资产、维护数据完整、完成目标,同时能更经济的使用资源。信息安全审计与信息安全管理密切相关,信息安全审计的主要依据是出于不同的角度提出的控制体系的信息安全管理相关的标准。这些控制体系下的信息化审计可以有效地控制信息安全,从而达到安全审计的目的,提高信息系统的安全性。由此,国际组织也制定了相关文件规范填补信息系统审计方面的某些空白。例如《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准。我国法律也针对信息安全审计制定出了《中华人民共和国审计法》、《国务院办公厅关利用计算机信息系统开展审计工作有关的通知》等文件,基本规范了内部审计机制,健全了内部审计机构;强调机构应加强内审工作,机构内部要形成有权就有责、用权受监督的最佳氛围;审计委员会直接对领导班子负责,其成员需具有相应的独立性,委员会成员具良好的职业操守和能力,内审人员应当具备内审人员从业资格,其工作范围不应受到人为限制。内部审计机构对审计过程中发现的重大问题,视具体情况,可以直接向审计委员会或者领导层报告。

三、主机系统安全审计

信息技术审计,或信息系统审计,是一个信息技术基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面做出判断的过程。

以技术划分,信息化安全审计主要分为主机审计、网络审计、应用审计、数据库审计,综合审计。简单的说获取、记录被审计主机的状态信息和敏感操作就是主机审计,主机审计可以从已有的系统审计记录中提取相关信息,并以审计规则为标准来分析判断被审计主机是否存在违规行为。总之,为了在最大限度保障安全的基础上找到最佳途径使得业务正常工作的一切行为及手段,而对计算机信息系统的薄弱环节进行检测、评估及分析,都可称作安全审计。

主机安全审计系统中事件产生器、分析器和响应单元已经分别以智能审计主机、系统中心、管理与报警处置控制台来替代。实现主机安全系统的审计包括系统安全审计、主机应用安全审计及用户行为审计。智能审计替代主机安装在网络计算机用户上,并按照设计思路监视用户操作行为,同时智能分析事件安全。从面向防护的对象可将主机安全审计系统分为系统安全审计、主机应用安全审计、用户行为审计、移动数据防护审计等方面。

四、待解决的若干问题

计算机与信息系统广泛使用,如何加强对终端用户计算机的安全管理成为一个急需解决的问题。这就需要建立一个信息安全体系,也就是建立安全策略体系、安全管理体系和安全技术体系。

保护网络设备、设施、介质,对操作系统、数据库及服务系统进行漏洞修补和安全加固,对服务器建立严格审核。在安全管理上完善人员管理、资产管理、站点维护管理、灾难管理、应急响应、安全服务、人才管理,形成一套比较完备的信息系统安全管理保障体系。

防火墙是保证网络安全的重要屏障,也是降低网络安全风险的重要因素。VPN可以通过一个公用网络建立一个临时的、安垒的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。借助专业的防DDos系统,可以有效的阻止恶意攻击。信息系统的安全需求是全方位的、系统的、整体的,需要从技术、管理等方面进行全面的安全设计和建设,有效提高信息系统的防护、检侧、响应、恢复能力,以抵御不断出现的安全威胁与风险,保证系统长期稳定可靠的运行。严格的安全管理制度,明确的安全职责划分,合理的人员角色定义,都可以在很大程度上减少网络的安全隐患。

从战略高度充分认识信息安全的重要性和紧迫性。健全安全管理组织体系,明确安全管理的相关组织、机构和职责,建立集中统一、分工协作、各司其职的安全管理责任机制。为了确保突发重大安全事件时,能得到及时的响应和支援,信息系统必须建立和逐步完善应急响应支援体系,确保整个信息系统的安全稳定运行。

参考文献:

[1]宋新月,内部审计在经济管理中的重要作用浅析[J],知识经济,2009

篇5

关键词:计算机;信息安全;管理体系;有效实现

中图分类号:TP309文献标识码:A文章编号:1007-9599 (2011) 16-0000-01

Computer Information Security Management System Effective Achievement

Tang Ping,Sha Jing

(China Petroleum Xinjiang Sales Company,Urumqi830002,China)

Abstract:In the computer industries,while providing strong support,it is the computer information security requirements have become more sophisticated.I work based on years of experience in computer security management,put forward some ideas and suggestions.

Keywords:Computer;Information security;Management system;Effective realization of

一、计算机信息安全管理的重要性分析

伴随我国经济和科学技术的快速发展,为了适应社会信息化的需求,计算机的应用领域在不断扩展,为各行各业提供了强大的信息服务,为企业处理大量数据信息提供了快捷方便的服务。当然,我们在享受着计算机系统为我们带来的诸多便利的时候,也必须认识到计算机系统所潜在的安全管理问题。目前,伴随我国大多数企、事业单位计算机系统的应用,信息安全问题也日益成为影响其信息化效能的重要瓶颈,尤其是对那些用来处理和传输企业涉及国家信息秘密的计算机信息系统,若这些方面存在安全问题,那么就会危及到企业乃至国家的安全与利益。但是,信息安全问题是一个非常复杂的系统,需要以系统眼光来对待,而建立计算机信息安全管理体系正是解决这个复杂系统问题的有效方法。因此,为了保证信息系统的安全,必须建立完善的计算机信息安全的管理体系。

二、计算机信息安全管理主要方向分析

(一)进行加密保护。伴随人们对计算机的依赖程度越来越高,计算机信息数据的重要性也就不言而喻了,而信息加密技术是很必要的。信息加密是为了保护网内数据、文件、口令和控制信息,网上传输的数据。加密方法有链路加密、节点加密和端点加密三种。一个进行了加密的网络,不仅可以防止非授权用户的搭线窃听和入网,而且还是有效应对恶意软件的有效方法。

(二)进行安全审计。安全审计是针对系统中的所有资源(包括数据库、主机、操作系统、安全设备等)和行为的审计,审计记录所有事件,提供给管理员作为系统维护以及安全防范的依据。一旦有任何突发事件可以快速地查阅行为记录,确定问题,以便采取相应的措施。

(三)终端防护。终端防护就是对安全体系中细粒度进行控制,也是安全防护中的敏感区。终端主要分为移动终端和固定终端两种,对于终端的管控行为主要是为使用行为控制和审查。传统的防护方案侧重于解决外部入侵或者保证网络上数据传输的安全,但不能阻止内部事故的发生,因此终端防护对于防止内部问题和出现恶意用户攻击具有重要作用。

(四)物理安全。物理安全主要涉及周边工作环境的安全、网络的布线、安全设备的管理,重点是如何完成重点部位和重要数据的集中管制和防护。

(五)网络安全。网络安全在安全防护体系中涉及内容比较多,包括对网络的防毒措施、内部网物理隔绝、传输加密措施、对用户的监控和管理措施以及审计措施等。对于内部网络数据资源的共享和交互需要有严格的控制手段,控制应加在网络安全的不同层次,包括终端安全、链路层安全以及应用层安全等。

三、安全管理体系的设计与实现

(一)体系结构。建设一个完备的信息安全管理体系有待解决的问题涉及面很广,同时防护技术涉及技术体系多,主要有数字签名技术、访问控制技术、数据加密技术、终端防护技术、防病毒与反入侵技术、信息泄漏防护技术、安全评估技术与审计追踪技术等,涉及到多种安全管理产品的应用。参照国家有关计算机信息系统安全防护标准,建立一个信息安全管理体系主要分为以下几部分:安全管理、网络安全、物理安全、用户安全、应用安全、系统软件安全、数据安全。各部分根据防护的重点采用相应的技术措施,形成独立的子系统,其中主要包括:终端安全防护系统、入侵检测系统、终端安全管理系统、身份认证系统、安全网关系统和病毒防护系统等。

(二)主要技术措施。

1.安全的系统软件。所谓安全的系统和软件是指操作系统、数据库等系统软件的安全。系统终端的操作系统首先应采用统一版本,这样便于维护和管理。终端安全管理系统不仅能对系统的应用软件进行远程监控管理,还能屏蔽不允许安装或运行的软件,屏蔽不安全的端口。系统终端安装统一的杀毒软件,而且还需要自动更新系统补丁,便于进行集中控管。还要定时对客户端操作系统进行杀毒扫描和更新系统补丁。

2.物理环境安全防护。首先,机房应具有良好的接地和防雷等安全措施,部署机房监控系统,对机房温湿度、漏水和电源情况等时刻进行监控。此外,基于应用成本和安全管理便捷的考虑,应将采用集中式防护,代替分布式防护。要将重要的数据系统和信息系统服务器集中放置,并在集中数据的机房安装专用空调、大型UPS设备,准确控制机房的电源和环境温湿度。最后还要考虑设备的电磁辐射安全,在主设备的安全距离低于200m时需要增加防电磁辐射以及电源滤波设备。

3.数据安全。首先要考虑的移动存储设备,要进行统一的认证,没有安装安全终端管理软件的设备无法识别加密文件格式。对于可信的移动存储设备只能在内部网的可信终端上使用。在安全防护客户端设置USB端口的安全管理策略,对没有内部认证的移动存储介质可以设置为只读或者对其完全禁止。而对于那些对外交流的数据文件可以通过集中管理终端制作加密存储的文件格式,这种格式只能在用户输入口令时才可看到。

4.网络安全防护。鉴于目前外联的主要手段是通过PCMCIA、USB端口、有线或无线网卡、蓝牙等进行互联,所以,最安全有效防护就是在终端进行阻断非法行为。利用终端安全管理系统对网络进行固定设置,屏蔽不明端口,对于非法外联的,一旦检测到非法的客户端试图连接网络,立刻在交换机端口上对非法接入机器进行网络阻断。在重要服务器区部署安全认证网关,认证网关和CA认证系统进行联动,实现用户的安全访问控制和传输通道的加密功能。

计算机信息安全问题是一个系统性的问题,涉及到了技术、使用、管理等多个方面,既涵盖了计算机信息系统自身安全问题,也包括物理与逻辑方面的技术要求。因此,只有全面的做好各方面的管理与控制工作,才能真正确保计算机信息的安全性、完整性。

参考文献:

篇6

在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。本文分析了终端安全管理体系应包含的内容,阐述了传统分散式终端安全管理存在的问题,结合作者的工作实践经验,对一体化终端安全管理体系的建设,提出了自己的思路和见解。

关键词:

终端安全;一体化;体系建设

随着信息化建设不断发展,信息安全的重要性日益显露出来,在信息安全保护实践中,各单位往往对数据集中的后台服务器投入精力较多,对来自终端的威胁重视不足。信息安全事件调查经验表明,多数信息安全事件的突破口来自终端,因此在进行信息安全体系建设时,应对来自终端的威胁给予足够的重视,建立有效的终端安全管理体系。

1典型的终端安全管理体系应包括的内容

1.1防病毒及终端入侵防护

包括对全网病毒、木马、蠕虫、流氓软件、间谍软件等恶意代码的识别、查杀,对可疑行为的阻断和告警。此类功能主要是基于代码检测引擎和特征库实现。

1.2补丁状态检查及分发

包括检查是否已安装操作系统相应的补丁,各类防护特征库是否保持更新,能够自动推送安装补丁和特征库等。此类功能主要通过安全软件读取系统注册表及扫描特定位置文件系统,并自动执行后台脚本实现。

1.3移动存储管理

防止内部滥用移动介质,杜绝内外部移动介质在内外网交叉使用,并通过特殊加密技术保证移动介质在非授权环境下不能被读取。此类功能主要通过向操作系统底层驱动注入代码和数据加密技术实现。

1.4终端准入管理

实现对网络接入终端的安全准入管理与控制,确保接入网络终端已安装要求的防护系统,且符合安全策略要求,有效杜绝非法外来终端私自接入网络。此类功能可以基于交换机端口进行控制或使用安全网关进行控制。

1.5非法外联监控

用于发现和阻止内部网络用户非法建立通路连接互联网或非授权网络的行为,以此防止引入安全风险或导致信息泄密。此类功能通常做法是定期检查与某个互联网地址或非授权网络的连通性,若有连通便会触发监控报警。

1.6主机监控审计

对终端用户的操作行为进行管控与审计,对安装的软件实行黑白名单管理,当用户的操作违反安全策略时,能够自动禁止或记录违规日志。此类功能一般需在终端驻留程序,根据设定的操作策略和软件清单执行。

2传统分散式终端安全管理存在的问题

(1)产生兼容性问题。不同的终端安全防护产品均需要操作系统权限并向底层驱动注入代码实现检测,各产品之间的操作冲突、导致兼容性问题已是常见现象,即使能够和平共存也会造成增加系统资源开销,拖累系统变慢等一系列问题。

(2)缺乏统一管理。在终端上安装使用多种安全防护产品,缺乏全局性安全管控,容易形成信息孤岛,不利于开展诸如安全数据的收集、汇总、统计等关联分析工作,无法系统性展示终端安全全貌。

(3)防护效果打折扣。不同的终端安全防护产品在功能上各有侧重,组合在一起并不一定能全面覆盖用户的安全需求,由于底层机制的类同和兼容性冲突等原因,经常出现安全防护的真空地带,产生1+1<2的现象,使防护效果大打折扣。

(4)运行维护成本高。多种终端安全防护产品同时使用,需同时与多个厂商采购维保服务,周期长投入大,运行上需要维护多套不同的策略表,从不同的来源更新补丁包、特征库等,都给运维增加了不小的工作量。

(5)难以满足自主可控的要求。出于国家安全战略的需要,终端安全防护产品应尽可能满足自主可控的要求。分散部署不同的终端安全防护产品,大多是基于历史原因分批分步建设形成的,存在一定的不可控安全风险。

3一体化终端安全管理体系的建设思路

一体化终端安全管理体系的建设,应遵循“功能集中、统一建设”的原则,结合单位已有的终端安全防护现状,采用“整合式替代、替代后实现一体化管理”的思路开展。替代过程中,应充分考虑安全设备国产化的要求,既实现终端安全防护各项功能,又可在统一平台下管理终端资产、终端信息、终端安全防护系统等,实现终端一体化安全管理。终端一体化安全管理可极大地提高运维效率,增强终端类安全事件联动,提高终端安全事件预警发现和处置能力,最终提高单位的信息安全管理水平。具体实施过程中,应以“资源整合、统一管理、分级部署、基准策略、量体裁衣、人力集约”为主要工作目标,最大程度整合单位现有软硬件资源、技术人才资源,节约资源、资金、人力成本,集成各类终端管理功能,逻辑上实行统一管理,总部制定基准策略,各地分支机构针对自己的情况,定制适合本辖区情况的安全策略,预留一定扩展空间,供各级机构在统一终端管理平台下的本地化处理。建议分四个步骤进行:①率先落实国产化替代,一体化终端安全管理体系建设不再考虑国外产品,实现完全国产自主可控,这一点无论是在技术上还是在市场上都已不存在问题。②整合现有终端安全防护系统的功能,在实现病毒防治、补丁分发、非法外联监控、准入控制、移动介质管控、安全策略管理等功能的基础上,实现各功能模块的数据整合与联动。③增加资产管理、操作审计等功能,并实现一体化关联和统一展现,进一步完善系统的管理功能,能够进行终端状态、终端信息、安全事件等信息的展示、分析和处理,实现对安全事件的及时发现、告警和处置,及时消除安全事件对终端的影响。④在系统建设的基础上实现科学安全管理,通过对终端安全状态的统一定量评估,实现对各部门、各分支机构的终端安全态势评估,掌握终端安全管理的薄弱环节,为信息安全管理工作的整改完善提供数据支撑。在功能方面:一体化终端安全管理体系应主要包括但不限于防病毒管理、终端入侵检测防护管理、补丁分发管理、移动介质管理、非法外联管理、终端准入管理、主机监控审计管理、终端信息管理、安全策略管理、终端运行状态统计管理、安全事件管理、运行报表管理、考核指标管理、系统管理等功能。实现终端安全防护系统的一体化管理和安全防护系统的资源整合,实现安全防护策略的统一管理,建立全面、集中、统一的终端安全管理体系。在管理方面:实现与终端安全管理制度相适应的安全管理要求,实现总部与各分支机构终端信息的统一集中管理,实现终端安全控制策略的统一配置、自动筛查、告警和展现,实现定期安全类报表的自动生成和展现,实现安全管理人员的统一工作平台。

4结语

要实现对信息安全闭环式管理,仅仅重视信息系统服务端的保护是不够的,必须重视对每个入网终端的安全管理。一体化终端安全管理体系的建设,从技术上采取了多种手段强化终端的安全防护和管理,为强化单位的信息安全管理提供了必要的手段。同时,我们也必须认识到,终端安全管理体系的建设不是说建好系统就万事大吉了,对一个单位的信息安全管理而言,永远是“三分技术,七分管理”。再好的技术手段,也只有和管理制度相结合,并加以强力执行,才能达到预定的安全目标。

参考文献:

[1]孟粉霞,王越,雷磊.统一终端安全管理系统在内网中的分析及应用[J].信息系统工程,2013(8):70~71.

[2]田永飞.一体化终端安全管理系统应用初探[J].金融科技时代,2015(12):45~47.

[3]王义申.终端安全管理系统在企事业单位内网应用的分析[J].计算机安全,2007(7):63~65.

篇7

信息安全等级保护建设背景

信息安全等级保护制度是我们国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。

2011年,原卫生部了《关于全面开展卫生行业信息安全等级保护工作的通知》(卫办综函〔2011〕1126号)。针对医疗卫生行业的信息系统,原卫生部办公厅于2011年下发了《卫生行业信息安全等级保护工作的指导意见》(卫发办〔2011〕85号)要求三级甲等医院的核心业务信息系统信息安全等级保护定级不低于第三级,并且要求2015年12月30日前完成信息安全等级保护建设整改工作,并通过等级测评。

医疗行业面临的主要风险

1.医疗行业特点

随着我国医疗卫生事业的迅速发展,医学科学的不断进步,医药卫生事业体制改革的逐步深入,医院生存和发展的外部环境和内部机制都发生了很大的变化。当今计算机信息和网络通信技术的深入发展为提高医院管理水平创造了良好的条件,医院信息化建设也因此逐渐在我国各级医院中迅猛发展。目前医疗行业信息化有如下特点:系统运行连续性要求高,要求7×24小时不间断服务;网络间断时间不允许超过2小时;信息高度集成,所有信息需要集中使用;异构系统多,系统复杂度高;系统间接口复杂,涉及厂家多;系统内存储资料价值较高,存储着医院大量运用数据,其中包含大量患者隐私;存储的数据内容本身具备法律效力;核心网络采用网络物理隔离。

2.信息系统的威胁来源

信息系统的威胁来源主要可以分为两个方面,一个是环境因素造成的威胁,另一个方面是人为因素造成的威胁,而人为因素所带来的损失往往是不可估量的。

在环境因素方面,威胁主要来自于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障。

在人员因素方面又可以分为有意和无意两种情况,对于有意而为之的人,通常指恶意造成破坏的人,怀不满情绪的或有预谋的内部人员对信息系统进行恶意破坏,采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。而外部人员也可以利用信息系统的脆弱性,对网络或系统的保密性、完整性和可用性进行破坏,以获取利益或炫耀能力。对于无意的情况来说,通常指管理人员没有意识到问题或者没有尽心尽责的工作。例如,内部人员由于缺乏责任心,或者由于不关心或不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。

3.信息系统负面影响

医院内部的信息系统如果受到威胁、入侵或被破坏等,会给国家、医院以及人民的利益带来严重的影响。

系统如果出现宕机的现象,首先会造成患者情绪激动,耽误治疗流程,甚至会威胁到患者生命的安危。其次会造成门诊业务人员、主治医生、护士等工作人员的工作慌乱,甚至成为情绪激动患者的放矢对象。门诊办主任、主管院领导、医院院长电话问询,信息中心则会电话不断、手忙脚乱。医院业务停顿,从经济上受损失,而媒体也会曝光医院,使得医院信誉受损。

如果医院信息系统的内部信息丢失,则会造成员工信息被公开、患者信息泄露等风险。例如,据《劳动报》报道,一名负责开发、维护市卫生局出生系统数据库的技术部经理利用工作之便,在2011年至2012年4月期间,每月两次非法进入该院数据库,偷偷下载新生儿出生信息并进行贩卖,累计达到了10万条,给医疗卫生行业带来了严重的负面影响。

信息安全等级保护建设体系

由于医院信息系统复杂的特点、面临的威胁及产生负面影响的严重性,医院开展信息安全等级保护建设工作就尤为重要,急需一套适合医院的等级保护安全防御体系。

信息安全等级保护体系主要包括技术与管理两方面,在安全技术方面包括:物理安全、网络安全、主机安全、应用安全、数据安全;在安全管理方面包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。这10个方面里每一项都有若干控制项,顺利通过测评至少要达到控制项的80%以上(表1)。

如表1所示,控制项中G表示基本要求类,三级必须达到G3标准;S表示业务信息安全类,A表示系统服务保证类,三级标准中S与A任选一项达到三级即可。

根据信息安全等级保护标准,我院主要建设经验如下:

1.信息安全技术

(1)物理安全:数据中心机房是物理安全的核心,机房的装修工程、动力配电系统、空调新风系统、消防系统、综合布线系统等均需按照A级机房标准进行建设。此外,日常的管理工作也尤为重要,在物理权限控制方面应配备门禁系统,并且应做到两种或两种以上的身份识别机制,如指纹加密码或IC卡加密码等。环境监控方面除了每天定时的人员巡检还应在机房及各设备间部署监控系统,利用传感器监控温湿度、漏水、电压、设备状态等信息,一旦发生异常通过短信及时告知机房管理人员。

(2)网络安全:按照等级保护思路进行安全域的划分,将不同级别的信息系统通过防火墙和网闸进行隔离,根据每个安全域的特点设定不同的安全策略。服务器安全域制定细粒度访问控制列表,仅开放必要的端口,并在旁路架设网络流量审计设备和入侵检测系统,对所有流量进行记录及审计,能够及时发现攻击行为;客户端安全域制定网络准入和非法外联策略,禁止未经授权的计算机随意接入医院网络,并且通过管理软件和网闸控制内网的计算机随意访问外网或互联网;架设安全管理域,该区域主要用于对网络设备、服务器、安全设备的管理,并集中收集设备的日志,及时通过分析日志发现安全隐患。

(3)安全:服务器进行统一安全策略的制定,部署网络版杀毒系统、补丁分发系统、入侵防范系统等,并结合服务器承载的业务特点制定详细的资源控制列表,按照最小授权原则,授予最低资源访问权限。

(4)应用安全:部署数据库审计系统,对所有流经数据库的网络流量进行数据分析,制定审计策略,发生违规数据操作及时通过短信报给安全审计人员;同时部署CA数字签名系统,医生通过USBKEY进行系统登录,并对其所有操作进行数字签名,有效保证了应用系统的安全性及数据的不可抵赖性。

(5)数据安全:利用专业的数据备份软件在异地部署数据备份中心,对各系统数据库和文件继续高频率集中加密备份,并且应至少六个月进行一次数据还原演练,保证在出现问题是可以有效进行恢复。

2.信息安全管理

(1)安全管理制度:从医院层面制定信息安全管理制度,对信息安全制度进行重新整理修改,规定信息安全的各方面应遵守的原则、方法和指导策略,指定具体管理规定、处罚措施。制度应具备可操作性,同时应由专人负责随时进行修正,并由信息安全领导小组进行评审,最终进行。

(2)安全管理机构:组织建立信息安全工作领导小组,设置信息安全管理岗位,设立独立的系统管理员、网络管理员、安全管理员、安全审计员等岗位,制定各岗位的工作职责,与各岗位相关人员签署保密协议。同时制定沟通协作机制,内部定期组织会议进行信息安全工作部署,外部每日向公安局上报备案信息系统的安全情况,与数据库、存储、网络设备、安全设备等厂商签署协议,提供所有设备的备机备件,每月进行设备巡检,并要求在发生紧急事件时及时到场提供技术支持。

(3)人员安全管理:在人员录用方面,严格审查人员的背景、身份,并签署保密协议,人员离岗时执行离岗流程,各部门主管负责回收本部门负责的相关权限,所有权限回收后方可办理离职手续。同时定期对人员进行相关培训,每周进行一次内部培训,每年进行两次外部培训。对于外部厂商人员,其对设备的相关操作均需进行审批流程,并通过技术手段记录所有操作行为,做好操作记录,并不定期进行行为审计。

篇8

1无意的人为因素

信息安全的问题有些是无意的人为因素引起的。如相关工作人员对网络安全的配置不够完善,导致出现安全漏洞;或者用户自己信息安全意识差,未能完好的保存好相关登陆密码,导致信息泄露。

2恶意的人为因素

恶意的人为因素主要来自黑客攻击,恶意人为攻击具有的指向性和目的性,因此这部分行为对安全信息是最大的隐患和威胁。

3应用软件的漏洞

大多数应用软件都存在一定的漏洞,这些漏洞会成为一些黑客的攻击目标,因此应用软件的漏洞也是造成信息安全的一个原因。

加强计算机信息安全的建议对策

当前计算机信息安全的防护重点在于建立和完善计算机信息安全防护体系。当前防护总体策略是在技术层面上建立完整的网络安全解决方案,在管理层面上制定和落实严格的网络安全管理制度。

1计算机安全技术方面

1.1防火墙技术防火墙技术是一种应用性安全技术,它是在现代通信网络技术和信息安全技术基础上建立的,是目前互联网上广泛应用的一种安全措施。它是在内部网络和外部网络之间建立一个安全网关,并能通过监测、限制数据流来监测网络内外的信息以及运行状况,它不仅能够限制非法用户的侵入,同时也能阻止内部保密信息非法输出,本质上来讲,防火墙技术是一种隔离技术,能够隔离过滤掉有安全隐患、不健康的站点,从而大限度的降低被黑客攻击的可能性。

1.2反病毒技术计算机病毒是一段具有自我复制与传播能力的破坏性程序代码,它能够隐藏在可执行文件或数据文件中,在特定的条件下能被激活,从而破坏相关程序。目前计算机网络病毒的传播主要是以硬盘、网络等作为主要传播媒介。计算机若中了病毒,一般会表现出运行缓慢、文件丢失破换、破坏操作系统等严重影响用户信息安全。对计算机病毒的防护主要是预防为主、杀毒为辅。具体措施是要安装杀毒软件,并及时更新病毒库,及时下载相关补丁;若收到一些不熟悉的邮件并带有扩展名为exe的附件时,应及时删除;病毒往往捆绑在某些软件上,因此下载软件时一般去正规的网站下载;对u盘、移动硬盘等储存介质在使用前进行杀毒,防止病毒交叉感染。

1.3安全扫描及安全审计技术计算机系统和其他网络设备都存在一定的安全漏洞,这些漏洞是攻击者攻击系统的目标。安全扫描技术是对系统和相关设备进行安全监测,查找出安全隐患和可能被攻击的漏洞。通过安全扫描,系统管理员就能排除相应的隐患,从而防止黑客入侵。安全审计技术主要对操作系统、数据库、邮件系统等进行安全审计,是一种自动对用户进行评估的技术,判断用户的合法性,一旦发现攻击和用户非法访问,便可及时终止相关操作,从而起到保护信息安全的作用。

1.4数据加密技术计算机加密技术是一种非常重要的保护信息安全保障技术,它是讲可阅读的明文信息转化成不可直接读取的密码信息,从而防止未授权用户窃取数据信息。授权人通过相应的解密算法和密钥还原成明文信息,从而有效防止在传输过程中的信息泄露。目前,数据加密仍然是一种最可靠的信息保护技术。

2计算机信息安全管理方面

在计算机信息安全管理方面首先需强化思想教育,加强制度落实,增强计算机信息安全保密意识和观念,这些是计算机信息安全管理工作的基础;其次,制定严格的信息安全管理制度,在制度层面上确保计算机信息安全;再者,加强计算机网络人员的培训,使网罗人员熟练通过计算机网络实施正确有效的安全管理,保证网络信息安全;最后,提高个人的信息安全观念,对重要的不需修改数据资料建议直接刻录在光盘上保存;对于一些较小的资料文件可上传到相应的邮箱或者网盘。总之对数据备份要做到备份多份,放在不同地点,同时保证资料的及时更新。

结语

篇9

关键词信息安全 技术体系 管理体系

中图分类号:TB497文献标识码: A 文章编号:

前言

企业的正常运作离不开信息资源的支持,企业信息化系统作为管理企业信息资源的电子化工具和企业实力的重要组成部分,在促进企业规范管理流程、提高生产效率的同时,在运行中累积的包括企业的经营计划、知识产权、生产工艺、流程配方、方案图纸、客户资源等各种重要数据成为部门、企业的宝贵资产,关乎着企业的生存与发展。这些数据一旦损坏、丢失、泄漏或篡改,则会给企业带来重大安全影响。

企业要保持健康可持续性发展,信息安全是基本的保证之一。为确保信息资产安全,很多企业都制定了“硬件备份、分权分域、多层防御、等级防护”等等信息安全技术目标,并且逐步落实。与此同时,还应该清醒地认识到,技术体系达到先进水平,并不意味着企业的信息安全整体水平也是同步发展的;而必须建设和落实与之相适配的信息安全管理体系,并将其逐步纳入到企业的各级安全生产管理当中。

信息安全风险和措施概述

企业信息化系统在为企业带来提高工作效率和管理水平、增强竞争能力等益处的同时,也为企业带来了信息安全风险;而且信息安全风险与信息化水平和应用范围的提高与扩大同步增长。

(1)接入和访问方式多样化带来全网性风险

U盘、便携电脑、无线网卡、智能手机的普及加剧了病毒、蠕虫和间谍软件等普遍存在的信息安全威胁,而且对网络、系统、应用、信息的破坏程度和范围持续扩大。

(2)来自外网的攻击始终存在,攻击方式向更高阶段演化

和其他企业网一样,企业的信息化系统也一直面临着来自Internet和其他第三方对接网络的外在威胁,并且很容易跨域突现。在攻击手段上,攻击者已经从以往直接针对网络和系统的普遍攻击,转向了对更高层次的Web应用、信息数据的重点攻击。

(3)安全意识和相关培训不到位

职工信息安全培训普及和素质培养方面却没有形成一个长效机制,信息安全意识不均衡情况也普遍存在。

(4)信息安全管理体系尚未成熟

在信息安全保障体系中,企业普遍存在过于依赖于技术保障,而管理保障和制度执行相对薄弱等问题。大多数企业的信息安全管理体制还是沿袭传统组织架构,并没有咨询过专业安全公司在信息安全管理体系建设上的意见,仍由档案部门、调度部门兼职负责,而没有设置专门的信息安全部门,从而造成管理体系不健全,责任不清晰等问题。

信息安全管理体系的主要环节

从业内最佳安全实践来看,要想建立完善可行的信息安全管理体系,就要使之贯穿于整个企业信息安全建设和保障过程。一般说来,信息安全管理体系包括以下6个主要环节:

(1)信息风险评估程序:其目的是为了在企业、组织内部建立一套适合自身具体情况的信息风险评估机制,明确信息风险评估由谁来做、怎么做、做什么、重点解决什么等问题。这一环节有助于相关部门了解有哪些威胁会对企业信息真正造成影响、风险水平该如何确定。

(2)信息安全计划:它是在信息风险评估的基础上,结合企业的宏观安全战略与现实情况得出的,明确了信息安全工作应该“做什么”和“什么时候做”。

(3)项目管理:无论安全工作是内部人员来完成还是与专业安全公司协作来完成,每一项信息安全工作都可以视为一个安全项目。所以,还应充分考虑项目管理的各个阶段(发起、启动、计划、执行、控制、收尾)需要关注的问题和存在的风险。

(4)运行维护和培训:对企业信息的运行维护监控过程大部分是程序化和其他一些较为细碎的工作。同是,除了执行命令、填写表单以外,还需要通过各类培训教育让各级职工,尤其是掌握核心业务数据的岗位人员时刻保持风险预警意识。

(5)信息安全审计:其主要目的就是建立一个长效机制,明确对信息系统及其数据和信息的检查周期、审计方式、评审制度等内容,确保能够及时发现和弥补信息安全管理漏洞和缺陷。

(6)持续改进计划:为了应对不断变化的信息安全威胁和不断严格的合规性要求,从根本上解决信息安全问题,企业、组织需要对信息安全过程、方法、程序、操作指南持续改进。

图1 信息安全管理体系环节构成示意图

信息安全管理体系的实施内容

从当前来看,信息安全管理体系的实施内容主要包括信息安全管理制度和信息安全操作流程组成,二者各司其职,又互为补充。

首先,信息安全管理制度主要是公司的相关部门根据自身的管理职能,针对各种与信息安全管理有关的资源制定的相关要求、政策。管理制度通常由相应的部门进行归口管理和解释,是职能化、专业化的直接体现。

其次,信息安全管理流程是根据一定的管理目标,对系列相关活动顺序和操作规则的规定。通常管理流程会贯穿若干部门,使用相关资源,是流程化、规范化管理的体现。与管理制度相比,管理流程更注重过程管理,通常会使用一些流程测量指标,作为衡量效率和判断是否合理的依据。

最后,在信息安全管理体系的实施中,如果关注结果,不注重或者难于监控过程,就倾向于使用制度去约束,如近几年在企业中大力推广的口令加密存储制度等。另一方面,如果在一个安全控制点上更关注过程,即关注是否具有完备的输入,是否有合理可操作的处理过程,是否产生了预期的结果,那么就倾向使用操作流程进行记录,如系统补丁加载等。

篇10

记者:为什么说信息科技风险管理对于商业银行是特别重要的一环?

徐徽:近年来,风险管理已成为商业银行经营管理活动的主旋律,信息科技风险作为银行风险的重要组成部分,受到越来越多的重视。从商业银行的角度看,这源于两方面的驱动因素。

一是内在驱动因素。目前信息技术已深入到商业银行经营管理的各个领域,几乎所有的改革发展任务都与信息技术密切相关,不管是业务的发展,还是管理的提升,都需要信息技术的配套支持。但是,信息技术固有的风险,包括信息系统软硬件本身的脆弱性、数据集中导致的风险集中等,是客观存在且难以完全规避的。由于技术原因造成区域性和系统性的金融风险进而带来严重的社会影响,在国内外都有很多案例。因此,信息技术在促进银行业务发展、推动金融创新的同时,也使银行业务面临巨大的安全隐患,信息科技风险牵一发而动全身,信息系统的安全性和可靠性关系到商业银行整体经营管理活动的稳定,应该得到而且已经得到了所有商业银行的重视。

二是外在驱动因素。近几年,中国人民银行、银监会等监管机构对于商业银行信息科技风险的监管要求越来越严、越来越细。银监会2009年3月下发的《商业银行信息科技风险管理指引》,从IT治理、风险管理策略、信息安全、开发测试和生产运行管理等方面对商业银行提出了具体而细致的风险管理要求,对于商业银行加强信息安全管理、防范信息技术风险起到了重要的指导作用。同时,银监会将商业银行的信息系统纳入现场和非现场监管,大力开展信息科技风险现场检查,对商业银行的信息科技风险防范工作提出了更髙的标准和要求。监管力度的加大,促使商业银行针对信息技术风险防控制定出更强有力的措施,不断提髙信息安全风险管理水平。

在上述内部要求和外部环境的双重要求和驱动下,商业银行信息科技风险管理的重要性日益凸显,信息安全管理成了各行科技工作的主题。

记者:现阶段,我国金融机构面临的信息科技风险主要来源于哪些方面?

徐徽:要严控信息科技风险,就要先弄清楚风险的来源,并根据不同来源对症下药。概括来说,信息科技风险主要来自四个方面:一是自然原因导致的风险,包括地震、台风等自然灾害造成的风险,这类风险往往很难主动防范,只能被动防御,通过事前建立完善的业务连续性方案和应急预案,事后及时启动应急方案和补救措施来弥补;二是系统风险,是由信息系统相关软硬件的缺陷引起的,包括基础设施和硬件设备老化、系统软件缺陷、应用软件开发测试质量缺陷等,需要通过改善软硬件环境、完善应用软件来防范;三是管理缺陷导致的风险,是由管理制度的缺失或组织架构的制衡机制不完善引起的,需要从IT治理架构和管理机制上弥补管理和制度的空白及漏洞;四是人员违规操作风险,是由人员有意或无意的违规操作引起的,需要加强员工的安全培训和操作培训,提髙人员的信息安全意识和操作水平。其中,后三类风险需要以主动防范为主要安全管理措施,要建立风险事前防范、事中控制、事后监督和纠正的机制。

记者:为保障银行业务的安全,广发行信息科技风险管控采取了哪些具体措施?

徐徽:严控风险是我行2009年工作的主旋律之一,这也是行长辛迈豪在1月全行工作会议上确立的指导思想,在信息技术方面的定位就是“加强信息技术风险管控,将信息技术风险纳入银行全面风险管理体系”。信息安全管理工作是2009年全行科技工作的重点任务,是优先投入资源、重点保障的工作目标。由此可见我行对于信息科技风险管理的重视。

现阶段,根据我行技术和管理的实际情况,信息科技风险管理采用“广度优先、逐步提升”的策略,重点在管理、技术、人员等方面提升信息安全管理水平和管理能力,建立管理与技术结合的全方位的风险管理体系,变被动应对为主动防范。具体说来,主要采取以下几方面的措施开展信息安全工作。

第一,将信息科技风险管理和信息安全纳入我行五年科技战略规划的实施目标。为了提髙信息技术整体核心竞争力,提升信息技术对业务战略发展的长期可持续支持能力,我行于2008年完成了五年科技战略规划目标和实施路径的制定,信息科技风险管理和信息安全是科技规划的重要组成部分之一。科技规划中明确了信息安全工作的中长期目标,定义了信息安全机制建设、信息安全相关系统和管理平台建设等多方面的信息安全管理实施路径,我行在未来几年内将根据科技规划的实施路径逐步开展信息安全建设,提升信息风险防控能力。

第二,完善信息科技治理,大力开展信息科技风险管理机制建设,建立信息科技风险管理制度基础。以前,国内商业银行的信息安全管理普遍存在一个误区,认为部署了髙性能的硬件设备、实现了双机热备份、做好了生产运行风险控制,就算完成了信息科技风险控制的工作。其实不然,因为信息安全不单是技术问题,更是管理问题,只有持续完善信息科技治理架构,从组织架构和制度等管理层面采取防范措施,才能真正实现信息安全管理的目标。我行在信息科技治理方面的措施主要包括三个方面。首先,认真学习和领会监管机构对信息技术风险控制的要求,吸收借鉴同业经验,将监管要求和同业经验转化为行内工作规范,建立系统完善的信息技术风险管理组织架构和机制,建立了三道防线、三个小组和三项机制。三道防线是明确了信息技术部、合规部、稽核部为主体的信息技术风险三道防线的职能分工;三个小组是成立了信息系统突发事件应急领导小组、应急处置小组和支持保障小组,做好突发事件应急处理;三项机制是信息技术风险管理保障机制、信息技术风险评估和预警机制及信息技术风险应急处置机制。

其次,建立健全信息科技规章制度。为了做好制度建设,我行信息技术部专门制定了《科技规章制度管理办法》,明确了信息科技相关制度制定、修订、废止的流程和审批制度。在管理办法的指引下,切实抓好制度建设,近两年每年制定、修订的制度都在20项以上,形成了总数达到60余个的全行科技规章制度体系。同时加强制度的宣讲、检查、整改机制。对于新建立的制度,制定一项,宣讲一项,检查一项,违章整改一项。再次,加强信息安全队伍建设,提髙员工信息安全风险防范意识和水平,通过理论和实践的结合,培养髙素质的信息安全管理团队。去年我行在总行各部门和各分行科技部设立了信息安全岗,专门负责组织、落实本单位的信息安全管理工作。为了提髙信息安全岗人员的知识水平和操作技能,我行与广州市信息安全协会共同设计了培训课程,组织总行信息安全岗人员和总行信息技术部相关岗位人员分批参加了信息安全继续教育培训,实现总行信息安全岗满足《广东省公安厅关于计算机信息系统安全保护的实施办法》中关于持证上岗的监管要求,今年将实现分行信息安全岗全部持证上岗。我们同时认识到,信息科技风险防范不仅是信息安全岗的事情,而且是全体员工的基本任务。因此正在组织编写全员信息安全手册,对于桌面电脑安全、信息保密等基础信息安全知识开展普及教育,届时将人手一册,确保全体员工了解并遵守信息安全管理要求。

第三,采取有效的信息科技风险管理的手段防范和化解信息安全风险。首先,持续开展信息科技风险检查、评估、整改这一不断循环、螺旋上升的工作。一方面认真开展内部审计和外部审计工作,通过审计发现制度、流程、操作等方面中的风险;另一方面积极组织信息技术部的风险自查,每月定期开展总分行数据中心机房现场检查,每季度开展数据库操作、用户管理等髙风险操作的专项检查。根据审计要求和自查结果,严格落实风险整改工作,将整改任务落实到每季度、每月、每周的科技工作计划中。同时逐步扩大风险检查的广度和深度,主动发现并积极防范风险,通过风险整改实现持续改进。其次,严抓四方面的生产运行安全管理工作:一是完善基础设施建设,化解机房环境、硬件设备等基础设施的风险;二是建立和完善灾难备份中心,做好业务连续性建设;三是提升运行管理的水平,推进运行流程化和集中化管理,防范操作风险,确保信息系统的安全稳定运行。四是完善应急预案,积极组织开展应急演练,切实提髙风险防控水平。

记者:信息科技风险管理有时会影响效率,您如何看待这两个因素的平衡?