公司网络信息安全范文

时间:2023-10-24 18:02:59

导语:如何才能写好一篇公司网络信息安全,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

公司网络信息安全

篇1

【关键词】信息化;服务;信息安全

【中图分类号】TN915.08 【文献标识码】A 【文章编号】1672-5158(2012)09-0030-01

一、新疆电力公司业务应用情况

新疆电力公司始终坚持“服务党和国家工作大局、服务电力客户、服务发电企业、服务社会发展”的宗旨,从事电力购销业务,负责所辖区域电网之间的电力交易和调度。为了服务电力生产和统一调度的发展,以宽带达到100M以上。数据交换体系建设加快,实现了数据统计等关键信息的及时上报、自动汇总和动态。网省公司、地州电力调度机构实现了调度自动化系统,引入了电能计费系统和广域测量系统;变电站实现了计算机监控额无人、少人值守,大大提高了生产自动化水平。

建立地理信息系统(GIS),应用于输电、变电、配电管理业务。电力负荷、电力营销管理手段广泛应用,实现业务报装、电费抄核、故障报修、投诉受理等功能。地州供电企业营业窗口基本实现计算机受理用电业务,投运全国统一的“95598”电力客户电话服务系统。为方便用电客户缴费通过实现会计核算、业务报表及信息及时监控;实现银电联网,方便用电客户和发电企业进行缴费和资金结算;实现实现电子公文传输的单轨制运行和无纸化公文传输;建立集中规模招投标系统,在网上实现全过程招标和评标。

二、新疆电力公司网络结构

新疆电力公司广域网设计采用“双星形”网络拓扑结构。涵盖新疆电力公司下属22家单位及86个县供,覆盖率达到100%,实现了乌鲁木齐市内单位网络带宽1000M,地州单位网络带宽不低于100M互联,备用链路不低于10M;乌鲁木齐电业局及地州12家单位已经实现“双设备,双链路”设备及链路双冗余上行至新疆公司本部,主用155Mb通道,备用10Mb通道广域网核心路由使用NFA0-8及NFAOE,核心交换使用$9508设备,地州接入设备采用MSR50-60设备。

三、信息安全隐患分析

计算机信息安全面临来自多个方面的信息安全威胁,影响原因可能是系统本身、数据库以及移动储存介质,而它们在使用、管理过程中的疏忽也加剧了问题的严重性。

3.1 操作系统和应用程序的安全漏洞现在广泛使用的操作系统在安全体系结构上都先天不足,靠打补丁逐步完善,缺乏严密的安全框架,安全漏洞较多。访问控制与认证功能薄弱,用户认证方式单一,绝大多数仅为口令方式,一些更可靠的生物特征认证手段因缺少硬件认证部件没有得到广泛应用。有的操作系统还有陷门和隐蔽信道。在应用程序安全的问题上,主要是缺少完备的安全机制。在开发过程中没有遵照安全软件工程的原则开发,用户只关心是否实现了所要求的功能,安全完全由程序员开发与控制,从而留下安全隐患。

3.2 移动储存介质

移动储存介质由于其本身具有方便小巧、存储量大、通用性强、易携带等特点,得到了广泛的使用。但这些特点也给网络带来了许多安全隐患,造成网络系统不易管理,尤其是单位移动储存介质的管理。现阶段介质的使用大多缺乏设备登记、身份认证、访问控制和审计机制,这给网络系统的信息安全造成很大的威胁。

3.3 数据库系统的安全隐患

数据库系统的安全隐患有如下特点:涉及到信息在不同程度上的安全,即客体具有层次性和多项性;在DBMS中受到保护的客体可能是复杂的逻辑结构,若干复杂的逻辑结构可能映射到同一物理数据客体上,即客体逻辑结构与物理结构的分离;客体之间的信息相关性较大,应该考虑对特殊推理攻击的范围。我们将企业数据库系统分成两个部分:一部分是数据库,按照一定的方式存取各业务数据。一部分是数据库管理系统(DBMS),它为用户及应用程序提供数据访问,同时对数据库进行管理,维护等多种功能。

3.4 路由和交换设备安全隐患路由器是企业网络的核心部件。它的安全将直接影响整个网络的安全。路由器在缺省情况下只使用简单的口令验证用户身份,并且在远程TELNET登录时以明文传输口令。一旦口令泄密,路由器将失去所有的保护能力。同时,路由器口令的弱点是没有计数器功能,所以每个人都可以不限次数地尝试登录口令,在口令字典等工具的帮助下很容易破解登录口令。每个管理员都可能使用相同的口令,路由器对于谁曾经作过什么修改没有跟踪审计的能力。此外,路由器实现的某些动态路由协议存在一定的安全漏洞,有可能被恶意攻击者利用来破坏网络的路由设置,达到破坏网络或为攻击作准备的目的。

3.5 黑客的威胁和攻击

黑客具有非常强的计算机网络系统知识,能熟练使用各种计算机技术和软件工具。黑客善于发现计算机网络系统自身存在的系统漏洞。漏洞成为黑客被攻击的目标或利用为攻击的途径,并对网络系统的安全构成了非常大的威胁。目前,在各个国家计算机信息网络上的黑客攻击事件都是越演越烈。

3.6 计算机病毒的侵害

由于计算机病毒具有蔓延速度快、范围广等特点,是计算机网络系统的最大的威胁造成的损失难以估计。计算机病毒破坏的对象直接就是计算机系统或者网络系统。一旦计算机感染上病毒后,轻则使系统执行效率下降,重则造成系统死机或毁坏,使部分文件或全部数据丢失,甚至造成计算机系统硬件设备等部件的损坏。

四、网络信息安全应对策略

4.1 访问控制策略

访问控制是网络安全防范和保护的主要策略,主要任务是保证网络资源不被非法使用和非法访问,是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。下面分述各种访问控制策略。

4.2 信息加密策略

信息系统的数据加密常用的方法有链路加密、端点加密和节点加密三种。对于网络信息和电子文件具体加密的方法很多,如名称加密、内容加密、属性加密、形式加密等信息加密的目的是保护网络内部和网上传输的数据、文件、口令和控制信息的安全。信息加密过程是由形形的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。按照收发双方密钥是否相同来分类,可将加密算法分为私钥加密算法和公钥加密算法。

4.3 网络安全管理策略

安全管理手段主要是从制度上完善信息系统的安全性,防止由于人的主观行为或制度问题导致信息系统的泄密。加强网络的安全管理,对于确保网络的安全、可靠运行和信息的安全保密,将起到十分有效的作用。在应对各种突发、紧急事件上建立起完备的应急预案:新疆电力公司信息系统应急计划的目标是分析信息系统可能出现的紧急事件或者灾难事故,技术支持和业务部门应建立一整套应急措施,以保障新疆电力公司核心业务的连续服务。一旦发生重大的或灾难性事故时,信息中心工作人员迅速进行灾情分析,并上报信息安全工作领导小组即成为应急领导小组,负责指挥执行紧急应变计划,排除灾难事故。同时应急领导小组还要组织相关的部门做好对外的解释、宣传和公告以及保卫工作,防止事态的扩大,

篇2

为了应对各种安全风险,保障公安网络及其信息资源的安全,四川省公安选用了启明星辰的全系安全产品来为其提供全面、可靠的安全保障。

安全域划分

遵循IATF的纵深防御思想和IA原则,结合四川省公安信息网络的实际情况,启明星辰对整个网络进行了安全域划分。启明星辰将整个网络划分为边界接入域、计算环境域、网络设施域和支撑设施域四个安全域;每个安全域又分为不同的安全区,如根据接入的现状将边界接入域划分为外联网接入区、内部接入区、内联网接入区和边界接入平台四个不同的接入区。

在这四个安全域中,所面临的风险和风险的危害程度是各不相同的,防护的重点也不一样,需要根据每个安全域的特点制定相应的安全策略,部署相应的安全产品。

边界接入域

网络边界的综合安全防护

边界接入域所面临的主要威胁包括非授权访问、来自外部的入侵、蠕虫病毒等,因此在边界接入域上需要采取访问控制(防火墙)、安全远程接入(VPN)、防病毒和网络入侵防御等多种安全防护措施,全面应对网络安全风险。

针对边界接入域的防护需求,启明星辰在边界接入域各接入区的边界位置部署天清汉马USG一体化安全网关,以提供综合的安全防御。

天清汉马USG一体化安全网关是国内领先的UTM产品,市场份额在2007年和2008年连续两年位居国内厂商前茅。天清汉马USG除具备防火墙的状态检测和访问控制功能外,还具备VPN、网关防病毒、网络入侵防御(IPS)、抗拒绝服务(DoS)攻击等高级安全功能,能够为网络边界提供立体化的纵深防御,并大大简化网络边界的安全部署。天清汉马USG采用了高性能的硬件架构和一体化的软件设计,在开启多种安全防护功能之后,仍然能够确保高性能和低延迟,可谓是边界防御的理想之选。

计算环境域

核心业务安全防御和合规保障

计算环境域包含了公安信息网中核心的业务平台和业务服务器,其所面临的主要威胁是外界对应用系统的攻击和入侵行为,尤其是SQL注入攻击和跨站脚本(XSS)攻击对网络业务系统所带来的严重危害。另外,内部人员越权、滥用、操作失误和抵赖等行为所带来的安全风险,也需要进行积极的防范。

以核心计算域核心服务器区的防护为例,针对外部的攻击和入侵行为,可以通过部署千兆天清NDP入侵防御系统(IPS)来提供深层防御。天清IPS可以防御传统防火墙发现不了的4~7层深层攻击行为,如缓冲溢出、木马后门、蠕虫病毒等,能够进一步提升对关键业务和数据的防御能力。针对日益泛滥的SQL注入攻击、跨站脚本攻击等网络攻击行为,天清IPS采用了攻击机理分析的检测技术。与传统的基于数据特征匹配和基于异常模型构建的检测方相比,基于攻击机理分析的检测技术有着更低的漏报率和误报率,能够对网络攻击行为进行精确的判断和阻断,不会因为误警而影响网络的正常应用。

针对内部合规审计和管理的需求,通过部署启明星辰天h网络安全审计系统,可以做到对重要数据库和关键业务应用的行为审计。天h网络安全审计系统是对业务环境下的网络操作行为进行细粒度审计的合规性管理系统。它通过对被授权人员和系统的网络行为进行解析、分析、记录、汇报,能够帮助用户实现事前规划预防、事中实时监控和违规响应,以及事后合规报告和追踪回放,从而加强内外部网络行为监管,避免核心资产(数据库、服务器、网络设备等)损失,保障业务系统的正常运营。

网络设施域

网络行为和流量监控

网络设施域内的各种网络设备,承载着公安信息网内所有的业务和通信流量,面临着漏洞利用、数据窃听、通信链路故障等风险。除了通过各种措施保证通信链路的可靠性以外,还需要对网络中的各种安全事件、网络流量的分布情况进行监测,并根据监测到的信息及时调整安全策略。

针对网络设施域的防护需求,启明星辰在信息网的核心交换机上旁路部署天阗入侵检测系统(IDS),来对全网的安全事件和流量信息进行监控。

启明星辰的天阗IDS连续六年(2003~2008年)蝉联国内IDS市场领先地位,是名副其实的中国IT安全市场入侵检测知名品牌。天阗IDS可以监视端口扫描、木马后门攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等各种入侵事件,并在发生严重入侵事件时通过屏幕提示、邮件告警、E-mail告警等多种方式向管理员提供报警。天阗IDS还可以对全网的流量情况进行全局分析,提供实时的流量统计图,帮助网络管理员直观地掌握网络中各种应用的分布情况。

支撑设施域

脆弱性评估和内网安全

支撑设施域范围很广,包含了信息网中所使用的业务应用运维系统、公用秘钥体系、安全管理体系等各种支撑体系。支撑域所面临的风险主要有两方面:一方面是支撑域中的各种终端、网络设备、服务器可能存在的漏洞和脆弱性,这些漏洞和脆弱性能够被不法分子利用以进入内部网络,非法获取内部信息资产;另一方面来自于内部人员,员工的不规范操作、终端随意接入、权限私自共享等行为,往往会导致传输泄密、网络瘫痪、文件破坏等严重后果。

对于资产的脆弱性风险,通过在支撑域中部署天镜脆弱性扫描和管理系统,可以快速发现网络中的各种资产,并对资产进行识别;对网络中的核心服务器、各种终端、重要的网络设备,包括服务器、交换机等进行安全漏洞检测和分析;对于发现的漏洞,给出修复建议和预防措施,并对风险控制策略进行有效审核,从而帮助客户在弱点全面评估的基础上实现安全自主掌控。

对于内部人员风险,通过在业务和运维终端部署天内网风险控制和安全管理系统,能够对全网的接入主机进行补丁自动分发和终端合规检查,杜绝不安全的终端接入内网。使用天独有的内核加密技术,可实时动态加解密,以及基于用户角色的关键数据受控共享,结合完善的防非法外联技术,能够有效切断数据非法传播途径,从根本上解决数据防泄密问题,保护用户关键信息资产。

篇3

关键词:通信网络;信息安全;防护;措施

中图分类号:TN911 文献标识码:A 文章编号:1001-828X(2013)10-0-01

在任何情况下,失误都有它的两面性,人们在享受通信网络到来的便利的时候,也必须承受它所带来的对通信网络信息安全的威胁。随着科学技术的逐渐的进步,我国已经进入到了“3G时代”,通信网络已经变成了一个开放性能很高的一个通信技术的平台,这种快速的网络通信的速度也为一些人知道恶意的通信网络安全的行为提供了巨大的客户资源。也正是这些恶意的攻击网络信息的人员的存在,这就给人们所使用的网络信息的安全埋下了隐患。合理正确的规避这些风险,确保人们的网络通信的信息安全具有重要的意义。所以本文对通信网络信息安全的主要的影响因素进行分析,同时提出保护通信网络信息安全的防护措施。这对于保护我国的商业秘密以及人们的隐私生活有很重的作用,甚至还会影响到国家的战略问题的安全。因此本文的分析具有很强的现实意义。

一、对通信网络信息安全性产生的威胁的类型

随着通信网络的逐渐发展以及科学技术的进步,现阶段,我国的通信网络已经进入到了“3G时代”这就造成了对于通信网络的信息安全的威胁性也逐渐的增加,同时这些种类也在不断的扩大。下面对这些主要的威胁通信网络信息安全的因素进行分析。

1.用户的个人信息被泄露

用户的个人信息被泄露或者被盗的情况在通信网络中经常的发生。这也给被盗人的个人生活产生了很大的困恼。甚至他们 还会利用被盗人的个人信息进行一些非法的勾当,这会给信息被盗者带来更大的损失。这主要是盗取着将自己的身份信息进行恶意的伪装,在用户进行网络访问的时候要求他们进行身份的确认或者身份信息的输入,这样他们就会很容易的获得用户的个人信息。另一种原因是一些网站可能会为了某些个人的利益将会员的身份信息进行买卖这也在很大的程度上造成了用户个人信息的泄露。在人们的日常生活中,比如:移动或者联通公司会把用户的个人信息出售给保险公司等等,这也就导致了人们经常会接到推销保险的电话,在人们警戒性不高的情况下可能还会带来财产的损失。

2.正常的网络服务得到干扰

正常的网络服务得到干扰会给人们的正常的工作带来很大的困难。现在人们的工作大部分都是依托于网络进行的,当正常的网络服务被打扰以后,对人们产生的损失可想而知。对正常的网络服务进行干扰的时候等级也会有所不同,最低级的就是恶意的攻击者利用一些简单的手段,造成了数据信息不能够传输等。第二等级就是协议的干扰,这种主要是恶意的攻击者利用某些特定的手段对特定的协议流程进行攻击并最终达到破坏或者干扰正常通信的目的。

3.重要的数据被盗窃或者数据的完整性遭到破坏

数据信息被盗或者数据的完整性遭到破坏对于财务公司或者数据类的公司会产生很大的危害。一般都是恶意攻击者通过各种非法的手段来盗取客户的数据信息在挪作他用的,一般会采用:窃听用户的业务类型、控制客户的数据等等手段来进行数据的盗窃。公司的数据完整性遭到破坏和数据被盗所造成的危害是同样等级的。都会严重的影响到公司业务的顺利进行。

二、维护通信网络信息安全的主要的防护措施

通过上面的介绍,人们了解到通信网络的信息安全会给人们的工作和生活带来很大的影响,并且在商业机密被盗会还可能会影响到企业的生死存亡。所以对通信网络信息的安全性采取防护措施具有很重要的现实意义。下面对主要的防护措施进行介绍。

1.对网络漏洞的扫描和修补进行强化

在通信网络信息化程度不断加大的今天,网络的信息安全事件的发生率也在逐渐的提高。所以加强对于网络漏洞的扫描和修补对于防止恶意攻击者的攻击有很好的效果。对网络进行安全性扫描只是一种提高通信网络信息安全的一种重要的措施。并且还可以针对扫描出来的漏洞下载合适的补丁对网络进行及时的修复,进而保证了通信网络的信息安全。

2.对重要的信息进行再加密的处理

信息的加密处理本身就是一种增强信息安全的手段,能够有效的防止用户个人信息的泄露。所以企业在对网络进行扫描和修补的同时也对重要的信息进行再加密就可以很好的确保重要信息的安全性。

3.建立针对网络信息安全的应急措施

针对网络信息安全建立合理及时的应急措施也是十分有必要的。这些能够确保在遇到网络信息安全问题的时候能够及时有效的解决。现在针对通信网络的信息安全问题要做到:预防第一。既要加强事前的预防,同时对于发生之后也要有相应的应对措施,这样才能保证网络信息的安全性。

三、结论

通过上面的分析了解到:随着我国科学技术的快速的发展,通信网络信息安全的问题已经变成了一个不可避免的问题了。当然,不可能存在一种单一的安全防护措施确保通信网络信息的绝对安全,所以在日常的生活和工作中,一般都要采取多种手段对通信网络的信息的安全性进行防护,这样才可以有效的保护自己的私人信息记忆商业机密的安全性。在采用多种手段防护通信网络信息安全的同时也要了解到对通信网络信息安全产生的威胁也有很多种,而针对这些威胁也有很多种保证通信网络信息安全的手段。因此,只要能够对其威胁进行合理的分析并对其措施进行合理的利用就可以在一定程度上保证人们的通信网络的信息安全问题了。

参考文献:

[1]张然.如何加强通讯网络信息安全防护[J].科技创新导报,2010,12(29):115-117.

[2]吴晓东.信息安全防护探析[J].现代商业,2010.

[3]过莉.企业计算机网络安全防护的几点措施[J].广东大学学报,2009,7(6):119-120.

篇4

关键词:信息安全;防护体系

随着企业各个业务系统的深化应用,企业的日常运作管理越来越倚重信息化,越来越多的数据都存储在计算机上。信息安全防护变得日益重要,信息安全就是要保证信息系统安全、可靠、持续运行,防范企业机密泄露。信息安全包括的内容很多,包括主机系统安全、网络安全、防病毒、安全加密、应用软件安全等方面。其中任何一个安全漏洞便可以威胁全局。随着信息化建设地不断深入和发展,数据通信网改造后,市县信息网络一体化相互融合,安全防护工作尤显重要。如何保障县公司信息网络安全成为重要课题。信息安全健康率主要由两方面体现,一是提升安全防护技术手段,二是完善安全管理体系。安全防护技术手段主要侧重于安全设备的应用、防病毒软件的部署、安全策略的制定、桌面终端的监管、安全移动介质、主机加固和双网双机等方面,安全管理则侧重于信息安全目标的建立、制度的建设、人员及岗位的规范、标准流程的制定、安全工作记录、信息安全宣传等方面[1]。因此,企业要提升信息安全,必须从管理机制、技术防护、监督检查、风险管控等方面入手,并行采取多种措施,严密部署县公司信息安全防护体系,确保企业信息系统及网络的安全稳定运行,主要体现在以下几方面:

1机制建立是关键

企业信息安全防护“七分靠管理,三分靠技术”,没有严谨的管理机制,安全工作是一纸空谈,因此,做好防护工作必须先建立管理体系。一是完善组织机制。在企业信息安全工作领导小组之下,设立县公司数据通信网安全防护工作组,由信通管理部门归口负责日常工作,落实信息安全各级责任。将信息安全纳入县公司安全生产体系,进而明确信息安全保障管理和监督部门的职责。建立健全信息安全管理等规章制度,加强信息安全规范化管理。二是强化培训机制。根据近年来信息安全的研究,企业最大信息安全的威胁来自于内部,因此,企业应以“时时讲信息安全,人人重信息安全,人人懂信息安全”为目标,开展“教育培训常态化、形式内容多样化、培训范围全员化、内容难度层次化”培训工作,为信息安全工作开展提供充分的智力保障。企业应充分利用网络大学、企业门户、即时通讯等媒介,充实信息安全内容,营造信息安全氛围,进而强化全员信息安全意识。三是建立应急机制。完善反应灵敏、协调有力的信息安全应急协调机制,修订完善县公司数据网现场应急处置预案,加强演练。严格执行特殊时期领导带班和骨干技术人员值班制度,进一步畅通安全事件通报渠道,规范信息安全事件通报程序,做好应急抢修人员、物资和车辆准备工作,及时响应和处理县公司信息安全事件。重点落实应对光缆中断、电源失去、设备故障应急保障措施,确保应急处置及时有效。杜绝应急预案编制后束之高阁和敷衍应付的行为。

2技术防护是基础

技术防护要从基础管理、边界防护、安全加固等方面入手[2]。(1)基础管理方面。一是技术资料由专人负责组织归类、整理,设备或接线如有变化,其图纸、模拟图板、设备台帐和技术档案等均应及时进行修正。二是将设备或主要部件进行固定,并设置明显的不易除去的标识,屏(柜)前后屏眉有信息专业统一规范的名称。三是设备自安装运行之日起建立单独的设备档案,有月度及年度检修计划并按计划进行检修,检修记录完整。所有设备的调试、修复、移动及任一信息线或网络线的拔插和所有设备的开关动作,都按有关程序严格执行,并在相应的设备档案中做好记录。四是加强运行值班监视和即时报告,确保系统缺陷和异常及时发现,及时消除。(2)安全隔离方面。安全隔离与信息交换系统(网闸)由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡,从而在保证内外网隔离的情况下,实现可靠、高效的安全数据交换,而所有这些复杂的操作均由隔离系统自动完成,用户只需依据自身业务特点定制合适的安全策略,既可以实现内外网络进行安全数据通信,在保障用户信息系统安全性的同时,最大限度保证客户应用的方便性。(3)边界防护方面。一是部署防火墙,做好网络隔离。在路由器与核心交换机之间配置防火墙,并设置详细的安全防护策略。防火墙总体策略应是白名单防护策略(即整体禁止,根据需要开放白名单中地址)。将内部区域(下联口)权限设置为禁止、外部区域(上联口)权限设置为允许。定义防火墙管理地址范围,针对PING、Webui、Gui三种服务进行设置:只允许特定管理员地址远程管理。二是严格执行防火墙策略调整审批程序,需要进行策略调整的相关单位,必须填写申请单,且必须符合相关安全要求,经审批后进行策略调整。三是严禁无线设备接入。(4)安全加固方面。一是应以最小权限原则为每个帐号分配其必须的角色、系统权限、对象权限和语句权限,删除系统多余用户,避免使用弱口令。二是安装系统安全补丁,对扫描或手工检查发现的系统漏洞进行修补。三是关闭网络设备中不安全的服务,确保网络设备只开启承载业务所必需的网络服务。四是配置网络设备的安全审计功能和访问控制策略。五是开展风险评估工作中,认真分析网络与信息系统安全潜在威胁、薄弱环节,综合运用评估工具,在常规评估内容基础上,加强渗透性验证测试和密码脆弱性测试,重视对系统结构与配置的安全评估。根据评估结果,及时提出并落实整改方案,实施安全加固措施。

3监督检查是保障

全面落实“按制度办事,让标准说话”的信息安全管理准则,在企业指导下,由县公司信通专业牵头,业务部门主导,分工协作建立督查机制,加强过程安全管控与全方位安全监测,推进安全督查队伍一体化管理,完善督查流程和标准,开展好安全督查工作,以监督促进安全提升。一是全面提升责任部门安全人员专业技术水平,加强督查队伍建设。二是完善督查机制,对督查中发现的问题督促落实整改,并开展分析总结,通报相关情况。三是开展常态督查,通过软件扫描、终端监测等手段,确保监测全方位。四是加强考核,开展指标评价。保障督查管理水平和工作质量。

险管控是对策

为确保公司信息化网络安全,公司要将被动的事件驱动型管理模式转变为主动的风险管控模式,主动地对威胁和风险进行评估,主动地采取风险处置措施。通过资源的调控实现对信息安全工作的调控。公司应在信息安全治理过程中大量借鉴管理学方法,进行动态的控制和治理,通过治理的流程控制措施进行资源的调配,实现对关键项目、关键技术、关键措施的扶持,对非关键活动的控制,确保公司信息化网络安全。数据通信网升级改造为企业信息化发展扩展了领域,同时,对信息安全工作提出了新的课题和更高的要求。本文通过分析企业信息化安全管理过程中的一些薄弱环节,提出了安全防护经验的措施,从管理机制、技术防护、监督检查、风险管控等方面入手,提高了县公司全体人员信息化安全意识,极大地保障了企业系统(含县公司)信息网络系统的安全、稳定运行,完善了县公司信息安全策略及总体防护体系,密织信息安全防护网,保障数据网不失密、不泄密,不发生信息安全事件。公司下一步将加强信息化常态安全巡检,加强信息化相关资料的管理,加强单位干部员工的信息化安全培训力度,进一步完善信息安全策略及总体防护体系。提高全体人员信息化安全意识,保障信息化网络安全。企业信息安全建设是一项复杂的综合系统工程,涵盖了公司员工、技术、管理等多方面因素。企业要实现信息安全,必须加强安全意识培训,制定明确的规章制度,综合各项信息安全技术,建立完善的信息安全管理体系,并将信息安全管理始终贯彻落实于企业各项活动的方方面面,做到管理和技术并重,形成一套完善的信息安全防护体系。

参考文献:

[1]马贵峰,马巨革.构建网络信息安全防护体系的思路及方法——浅谈网络信息安全的重要发展方向[J].信息系统工程,2010(6).

篇5

采用最先进的网络管理技术 重要数据服务器尽量采用漏洞少、安全系数高的开源linux操作系统。重要数据库数据尽量采取密码加密的方式存储。同时,尽量配齐配全安全防护设备,如防火墙,入侵检测系统、网络行为管理系统以及能够及时升级的防病毒软件。

选拔合格的网络管理人员 网络管理人员首先要有很强的网络信息安全意识,明白网络信息安全的重要性;其次,要有较高的网络信息安全专业知识,能够及时完善系统安全策略、更新系统补丁、查杀木马病毒;最后,需要有认真负责的工作态度,能够认真对待本职工作,对于出现的问题,能在及时进行解决,不影响网络的正常运转。

严格执行网络使用管理规定 办公内网必须与互联网及其他公共信息网络实行物理隔离,并强化身份鉴别、访问控制、安全审计等技术防护措施。严禁通过互联网电子邮箱、即时通信工具等处理、传递、转发涉密和敏感信息。严禁在办公内网使用外部U盘、光盘,点击不明网址,引发病毒木马攻击。

加强网络信息安全教育 光有好的网络安全设备和管理人员还不够,还必须提升所有公司人员的网络信息安全意识和网络安全操作水平,只要所有的人员认识到网络安全的重要性和必要,知道如何操作使用网络会减少安全危胁,才可以真正筑牢网络信息安全的防火墙。

加强外部信息的审查监管 要按照公司信息保密原则,对所有需要公开的信息实行审核把关,由信息安全负责部门领导负责审核审批,只有经过审核把关的信息,才可以进行到外网和公共信息平台上。未经息安全负责部门领导审批的,严禁进行信息,尤其是不能以单位的名义进行。

篇6

亨达公司已取得了国家信息安全测评中心信息安全服务二级(全国最高等级)、注册信息安全专业培训(CISP)授权机构、国家信息安全认证中心信息安全集成二级、应急服务二级、风险评估二级、公安部等级保护测评、工业和信息化部通信信息网络系统集成甲级、计算机网络系统集成三级、国家计算机应急技术协调处理中心(CNCERT/CC)信息安全服务技术支撑单位以及贵阳市国家保密局信息设备维修等一系列完善的通信与网络信息安全专业服务资质,通过了ISO9001:2008质量管理体系认证、ISO14001:2004环境管理体系认证和OHSAS18001:2007职业健康安全管理体系认证。

亨达集团先后被评为 “贵州省通信行业协会副理事长单位”、“贵州省通信体育协会副主席单位”,连续五年被省工商行政管理局评为“重信用、守合同”单位,并获得“全国十佳诚信单位”称号。目前已建成了集网络信息安全监控、网络攻防演练、信息安全培训、软件开发以及信息安全产品测评认证于一体的信息化综合服务保障平台。

亨达集团自2011年底取得等级保护测评资质以来,配合贵州省公安厅推进信息系统等级保护测评工作,开展了近百家单位共计500多个信息系统的安全等级保护测评,包括贵州省财政厅、贵州省统计局、贵州省交通厅、中国工商银行贵州分行、中国建设银行贵州分行、贵阳银行、贵阳海关、贵州省农村商业银行、遵义商行、贵州省人民医院、贵州省肿瘤医院、贵阳医学院等各大单位重要信息系统。

基于亨达集团作为贵州省优秀通信建设与网络信息安全服务企业,长期以来,一直与贵州省通信管理局保持着密切的合作与良好的沟通。公司自2009年起即已被国家计算机应急技术协调处理中心和省通信管理局确立为大区级技术支撑单位。

篇7

关键词:信息安全管理对策

信息安全随着信息技术的发展而产生,并且其重要性日益凸现出来,信息安全的内涵也随着计算机技术的发展而不断变化,进入二十一世纪以来,信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。即强调信息的保密性、完整性、可用性、可控性。

一、电力企业信息安全风险分析

随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。

1、电力公司信息安全的主要风险分析

信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:

(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。

在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。

(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。

网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,盗取企业商业秘密和机密信息,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。

如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。

(3)信息传递的安全不容忽视:随着办公自动化,财务管理系统,用电营销系统等生产,经营方面的重要系统投入在线运行,越来越多的重要数据和机密信息都通过企业的内部广域网来传输。同时电力公司和外部的政府,研究院所,以及国外有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。

网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。

(4)用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要使用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,使用起来非常不方便,更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务,是我们开发建设应用系统时必须考虑的一个共性的安全问题。

(5)实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控,遥调以及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。

同时,这些电网控制和监视系统中的许多信息又是生产指挥,管理决策必不可少的,需要通过和生产管理局域网互联,将数据传送生产管理信息系统中,供各级领导和各专业管理人员察看,使用。数据网和生产管理局域网的互联带来了不同安全等级的网络互连的安全问题。

(6)电子商务的安全逐步提上议事日程:随着计算机信息系统在电力市场,用电营销,财务管理等业务中的深入应用,电子商务在电力企业的应用开始起步。例如:电力市场系统中发电厂和电网公司之间的报价,电力交易,电费结算等都将通过计算机信息系统来实现和完成,这可以视为电子商务中常提到的B2B模式。用电营销系统中的电费计费结算,用户买电交费,银电联网代收电费等,是典型的电力公司和用户之间的电子交易,可以视为电子商务中的B2C模式;以后还有物资采购等方面的电子商务系统。

随着电子商务在电力企业中的应用逐步推广和深入,如何保障电子交易的安全,可靠,即电子商务安全问题也会越来越突出。

二、解决信息安全问题的基本原则

统筹规划,分步实施。要建立完整的信息安全防护体系,绝不能一哄而上,必须分清需求的轻重缓急,根据信息化建设的发展,结合信息系统建设和应用的步伐,统一规划,分步建设,逐步投资。

转贴于  1、做好安全风险的评估。进行安全系统的建设,首先必须做好安全状况评估分析,评估应聘请专业信息安全咨询公司,并组织企业内部信息人员和专业人员深度参与,全面进行信息安全风险评估,找出问题,确定需求,制定策略,再来实施,实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定,应尽量采用成熟的技术和产品,不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行,才能真正发挥信息安全防护系统和设备的作用。

2、采用信息安全新技术,建立信息安全防护体系

企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施

3、计算机防病毒系统

计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。

在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电网公司这样的大型企业的首选。个人版本的杀毒软件适合家庭,小规模用户。

4、网络安全防护系统

信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细分析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。

对于已经投入使用的信息系统,可以通过采用增加安全访问网关的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。对于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。

5、开展信息安全专题研究,为将来的应用做好准备

电网实时监视与控制系统的安全问题要求更高,技术难度更大,应开展专题研究。

国家有关部门和电力企业对电网实时监视与控制系统的安全问题高度重视,专门发文要求确保电网二次系统的计算机和网络系统的安全,要实现调度控制系统,数据网与其他生产管理系统和网络的有效隔离,甚至是物理隔离。

6、电子商务安全需要深入研究和逐步应用

电子商务的安全牵涉很多方面,包括严格,安全的身份的认证技术,对涉及商业机密的信息实现加密传输,采取数字签名技术保证合同和交易的完整性及不可否认性等。这些方面又与信息安全基础技术平台密切相关,因此安全基础平台的建设对于电子商务的安全应用是至关重要的。目前已经有电子商务的应用系统投入在线使用,我们必须加快对电子商务的安全的研究和应用,否则将来会出现因电子在线交易不安全,不可靠的而导致电子商务系统无人敢用的局面。

7、依据法规,遵循标准,提高安全管理水平

信息安全的管理包括了法律法规的规定,责任的分化,策略的规划,政策的制订,流程的制作,操作的审议等等。虽然信息安全"七分管理,三分技术"的说法不是很精确,但管理的作用可见一斑。

三、解决信息安全问题的思路与对策

电力企业的信息安全管理相对来说还是一个较新的话题,国内其他电力企业也在积极研究和探讨,以下是一些粗浅的看法。

1、依据国家法律,法规,建立企业信息安全管理制度

国家在信息安全方面了一系列的法律法规和技术标准,对信息网络安全进行了明确的规定,并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准,企业也必须依据这些法律法规,来建立自己的管理标准,技术体系,指导信息安全工作。学习信息安全管理国际标准,提升企业信息安全管理水平

国际上的信息技术发展和应用比我们先进,在信息安全领域的研究起步比我们更早,取得了很多的成果和经验,我们可以充分利用国际标准来指导我们的工作,提高水平,少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作,为此必须各单位建立一个信息安全工作的组织体系和常设机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,长能保证信息安全工作长期的,有效的开展,才能取得好的成绩。

2、开展全员信息安全教育和培训活动

安全意识和相关技能的教育是企业安全管理中重要的内容,信息安全不仅仅是信息部门的事,它牵涉到企业所有的员工,为了保证安全的成功和有效,应当对企业各级管理人员,用户,技术人员进行安全培训,减少人为差错,失误造成的安全风险。

开展安全教育和培训还应该注意安全知识的层次性,主管信息安全工作的负责人或各级管理人员,重点是了解,掌握企业信息安全的整体策略及目标,信息安全体系的构成,安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等;用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。

3、充分利用企业网络条件,提供全面,及时和快捷的信息安全服务

山东省电力公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。

4、在发展中求安全

没有百分之百安全的技术和防护系统黑客技术,计算机病毒等信息安全攻击技术在不断发展的,人们对它们的认识,掌握也不是完全的,安全防护软件系统由于技术复杂,在研制开发过程中不可避免的会出现这样或者那样的问题,这势必决定了安全防护系统和设备不可能百分百的防御各种已知的,未知的信息安全威胁。

不是所有的信息安全问题可以一次解决

人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的,不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备,也仅仅是满足某一些方面的安全需求,不是企业有某一方面的信息安全需求,市场上就有对应的成熟产品,因此不是所有的安全问题都可以找到有效的解决方案。

篇8

关键词 管理;信息;安全;违章

中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02

随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。

1 信息安全管理的目标描述

1.1 信息安全管理的理念

信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。

1.2 信息安全管理的范围和目标

1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。

2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。

2 信息安全分类考核的主要做法

2.1 建立信息安全分类考核机制的目的

为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。

2.2 信息安全分类考核的依据和原则

依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。

2.3 信息安全违章行为界定

违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。

2.4 信息安全违章行为的分类

2.4.1 一般性违章(III类违章)

1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。

2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。

3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。

4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。

5)计算机未按要求进行注册或注册信息与责任人信息不一致。

6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。

7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。

2.4.2 较严重违章(II类违章)

1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。

2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。

3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。

4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。

5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。

6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。

7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。

8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。

9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。

10)内网计算机私自带出公司。

11)擅自组建无线网络并接入信息内网。

12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。

13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。

14)内外网计算机同处一室,经查实仍未按要求进行整改。

15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。

2.4.3 严重违章(Ⅰ类违章)

1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。

2.5 信息安全违章的督查

1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。

2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。

2.6 信息安全违章的处罚

1)处罚标准。

①I类违章:10000元以上或待岗处理。

②II类违章:500-2000元。

③III类违章:200-500元。

2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。

3)连带责任考核。

连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。

4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。

5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。

3 评估与改进

3.1 信息安全违章分类考核的评价

参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。

建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。

3.2 信息安全管理的提升

1)加强信息安全防范工作。

近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。

2)持续提高运维人员业务水平。

随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。

3)进一步加强员工信息安全意识。

加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。

4 结束语

生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。

参考文献

[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.

[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.

篇9

【关键词】计算机信息安全;信息安全防范;信息安全补偿

1.引言

信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。

2.大数据时代网络信息安全

2.1 计算机信息安全的定义

国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。

2.2 大数据时代网络信息安全现状

网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。

2.3 大数据时代网络信息安全保护思考方向

信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。

3.计算机本地信息安全

3.1 本地媒体信息种类

所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。

3.2 本地媒体信息安全现状

目前,本地媒体信息面临的安全隐患可以分为以下几个方面:

(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;

(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:

(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;

3.3 保护本地信息的必要性及影响

随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。

当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。

4.计算机可视媒体信息安全

4.1 可视媒体类型

可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。

4.2 可视媒体现状及发展

信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程

4.3 研究可视媒体信息安全的意义

可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。

5.结论

5.1 信息安全主要预防措施

随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。

5.1.1 风险评估

信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。

5.1.2 人工智能综合利用

人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。

5.1.3 等级保护

为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB 17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。

5.1.4 信息安全管理

随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人Henri Fayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。

5.2 信息安全主要补偿措施

5.2.1 转嫁风险

目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。

5.2.2 数据恢复

数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。

5.3 信息安全预防和补偿措施的结合

目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。

参考文献

[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网, 2013.

[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.

[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013 (1):37-39.

[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.

[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.

[6]冯登国,张阳,张玉清.信息安全风险评估综述[J].通信学报,2004,25(7):10-18.

[7]刘换,赵刚.人工智能在信息安全风险评估中的应用[J].北京信息科技大学学报(自然科学版),2012,4

[8]高雷,吕文豪.论建立我国网络信息安全保险体系[J].保险研究,2011(7):86-91.

[9]龚勇.Windows下数据恢复的研究[D].成都:电子科技大学,2008.

作者简介:

董承瑞,现就读于中国人民公安大学网络安全保卫学院。

宋晶乔,现就读于天津大学建筑工程学院。

徐达,现就读于中国人民公安大学网络安全保卫学院。

篇10

目前,我国商业银行种类繁多,所以商业银行在风险管理方面涉及的范围也很广泛。本文将从宏观角度研究探索,主要从我国商业银行的经营过程中信息安全风险分析,该安全风险包括技术和管理风险两类。文章将侧重讲述我国商业银行信息安全风险管理体系构架。

【关键词】商业银行 信息安全 风险管理 体系构架

在我国加入世贸组织后,在市场经济的影响下逐步形成一个与全球经济同步的开放整体,我国很多商业银行都开始设立国外分行,同时,国外银行也在不断开拓国内市场,这就表明,我国商业银行信息系统安全隐患也将由国内范围加深到世界范围。这时候,应该从分析了解我国商业银行信息系统特性着手,准备把握我国商业银行信息系统的安全风险信息,也可借鉴国外已经成熟了的银行信息系统安全管理体制,再根据本行的信息安全系统的特点,构建并完善我国商业银行信息系统安全风险管理体制,及时防范并有效降低我国商业银行信息的安全损害,确保我国商业银行的信息安全,已经成为我国金融机构热议的话题,必须引起银行以及监督管理机构的重视。

1 我国商业银行信息安全风险管理现状

1.1 信息安全与风险管理

广义上来说,信息安全是在特定社会背景下,国家为维护自身信息安全、低于国外信息威胁利用信息安全的通讯技术、网络IT技术的一种能力。从狭义上来讲,信息安全就是信息内容不被随意泄漏和改变,信息体统不受威胁与攻击。当前,风险管理已经在国际上越来越广泛地被运用,有效的风险管理不但可以削减企业经营风险,还能够在企业决策上提供一定的支持,保障企业的可持续发展。所以,风险管理有非常巨大的存在意义。风险管理是信息安全的基本观念。目前,普遍认为信息安全是识别信息系统风险,并能够采取相应措施不断完善信息系统的一个过程。

1.2 网络风险

在管理商业银行信息系统时,一定要非常谨慎的对待风险管理过程。在评估风险时,可能会发现网络被没有被充分的保护,需要增加一些软件、硬件或者是加强安全管理意识等进行充分保护。网络安全能够平衡银行业务、客户功能和速度。要证明减少某些操作是无误的,比如关闭Active,该行为的发生必须在能够保证银行业务和用户在一个安全的环境下。企业最高决策机构必须时刻强调时刻注意企业的安全,以风险管理为原则不断识别企业网络存在的安全隐患,能准确判断网络容易受到攻击地方,并能够从根本上加强保护。风险评估是风险管理的基础,主要根据三个步骤来实现风险评估:

1.2.1 网络价值的判断

一定要从银行的有形资产和无形资产两方面考虑来评估商业银行的网络价值。比如,在系统出现故障的时候,要考虑到该故障会对企业的财政收入造成的影响;在网络出现故障时,要考虑修复网络需要花费的人力、物力成本,重建网络信息要消耗的资金;在商业银行网络中有重要信息被泄漏,要考虑到整个公司的财政将会受到多大的影响。

1.2.2 定义威胁

商业银行的网络和网络数据经常会很容易被内外部环境的威胁攻击。所以,了解每种类型的威胁是非常必要的,还要尽可能多的鉴别可能存在的威胁。目前,很多管理网络的人员都并不能清楚理解环境自身的威胁。内部威一般很常见也很容易定义、识别。外部威胁就相对较难定义,首先要做的是判断破坏机密文件的以未授权方式的患者记录或者信用卡号。可能是企业的竞争对手为了找到银行客户资料,也可能是为了改变银行的数据并破坏数据的可用性的黑客所为;准确判断网络容易受攻击的地方。安全弱点就是已经被识别的威胁,按等级分类所识别的威胁:威胁的关注度、威胁的可行性。

1.2.3 设定方案

如何执行一个安全的解决方案是网络风险管理过程中的最后一步。该方案需要从以下几方面着手:加强客户以及网络管理人员的安全防范意识;改变并创新网络结构;稳固安全硬件;关闭银行中有安全威胁的并不常用或者根本就不需要的测试、服务以及补丁程序。

网络风险主要表现在这几个方面:安全性风险、网络故障风险、法律媒体风险。防范网络风险需要对网络安全进行风险评估,建立网络安全管理构架,最后制定一系列安全防范措施。评估风险首先需要企业内部专门的网络安全管理人员分析并诊断企业网络安全的状况,然后从管理与技术两个方面探讨研究网络安全问题的存在。网络安全管理体系架构需要考虑到的网络风险的几个方面:通过完善网络设备性能、提高网络承受力、先进传输技术的引进以及定期核查网络设备的方式来避免网络故障风险;通过加强宣传并提高社会成员法律安全意思制定一定的法律条款来防范法律媒体风险;通过增加设立持续不断的电源、增加投保企业保险、加强网络机器安全管理等方法来避免网络安全风险中如断电、火灾等的自然风险。针对网络自身的风险以及网络攻击风险,需要遵循一定的有限级有条理有选择的来解决来自数据、应用、系统、网络的信息安全问题。利用防火墙技术、安全监督体制、IT设计工具、VNP设备、数据加密技术以及数字签名等技术保障网络风险的最小化,并制定符合法律规则的有一定安全标准的全面完善的网络安全风险管理体制。

1.3 外包业务风险

当前,我国商业银行中有一大部分的银行属于中小型银行,在资金水平以及信息技术能力的限制下,缺乏独立的信息系统开发能力,只有通过业务的外包来满足银行信息系统,导致大量的银行核心代码分散到外包公司信息系统中。如果商业银行在这种情况下没有谨慎对待外包商、依据法律条款签订相应的协议、明确协议双方的职责,那么,银行信息系统的信息安全以及系统业务的可持续性将会受到加大的威胁。与此同时,在银行维护信息系统的时候,外包公司审核的不够严谨,没能积极修复系统漏洞、优化信息系统,也会威胁到银行信息系统的安全。银行在与外包公司签订合同协议的时候,如果没有做好协议数据保密工作、外包公司蓄意泄密或者转包服务等情况,都会产生信息安全风险,甚至会给银行带来销毁性的打击。

2 我国商行银行信息安全风险管理体系架构

我国商业银行存在一定信息安全风险是必然的,即使不能避免和杜绝这种风险,也要采取相应的措施最大程度的控制、削减、化解风险的发生频率。我国商业银行信息安全风险管理体系架构主要从技术、运作以及管理组织平台三方面设计。

2.1 管理组织平台

风险管理组织平台处于我国商行银行信息安全风险管理体系的最高层,为整个管理体系提供策略性的引导。主要从商业银行信息安全风险管理的制度与策略、管理人才以及组织机构三方面着手。

2.2 运行平台

我国商业银行信息安全风险管理体系的中间部分就是风险管理的运行平台,也是商业银行信息安全风险管理体系的核心与主体部分。风险运行的整个过程包含了风险的识别、评估以及应对等诸多活动,着重体现一种风险管理持续完善的理念。该过程依据PDCA模式,严格按照计划、实施、改进的管理模式管理商业银行信息安全风险,持续完善商业银行信息安全风险管理体系架构,有利于银行创建良好的安全的信息环境。

2.3 技术平台

商业银行信息安全风险管理体系的最底层便是风险管理的技术平台。技术平台为运行与组织平台的创建和实施提供有力的技术支持,也为我国商业银行信息安全风险管理体系提供了安全性技术保障。从时效上将技术平台分为预防、实时跟踪以及事后恢复三大技术。

我国商业银行信息安全风险管理体系架构主要从技术平台、运行平台、组织平台三方面的构建组成。风险管理组织平台的构建是我国商业银行信息安全风险管理体系的重要组成部分,为整个管理体系提供策略性的引导;风险管理运行平台的构建是我国商业银行信息安全风险管理体系的核心组成部分,风险管理的运行过程严格遵循PDCA的循环定律。通过资产、威胁、脆弱性三方面的评估形成对应的资产、威胁、脆弱性信息,为满足银行业务的需求,可以采取转移风险法、规避风险法、接受风险法以及消减风险法加以应对我国商业银行信息安全风险。具体利用数字加密技术、身份认证技术、控制访问技术、检测入侵技术、数据备份以及恢复技术为我国商业银行信息安全风险管理体系的构架提供安全有力的技术支持。

在我国商行银行信息安全风险管理体系基本构建完成后,还需要对该体系做出评审、改建意见以及相关说明等后期工作。该后期工作的主要内容包括内部审计、外部审计以及文件管理。需要注意的是,在审计过程中,常常会遇到银行信息系统中的大量的铭感信息,假若不能够正确处理审计过程中遇到的银行敏感信息将会给银行的信息安全带来不可忽视的威胁,所以,加强严格管理与控制我国商业银行的外部审计是我国商业银行当前面临的一项刻不容缓的任务。银行最高决策机构应该依据法律制度,设计出相应的整改方案,并定期实施有效方案,提高我国商业银行信息的安全度,保障我国商业银行信息安全风险管理体系的成功构建。

3 结束语

信息在网络信息迅速发展的背景下已经成为一项可贵的必不可少的资源。一般来讲,掌握的信息越多、越准确就越有取胜以及权威的先机。信息对于我国商业银行这样一个特别的行业更是非常重要。在商业银行网络与业务规模不断扩大的背景下,我国商业银行在信息安全保护方面面临严峻的考验,所以,保障商业银行信息安全风险管理体系的安全已经成为目前金融行业重要的使命。

参考文献

[1]陈小娟.我国银行信息安全风险管理体系研究[D].苏州大学,2013.