网络资产安全管理范文

时间:2023-12-06 17:42:27

导语:如何才能写好一篇网络资产安全管理,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

网络资产安全管理

篇1

【关键词】信息安全;电力企业;防护措施

前言

当前,电力企业在生产运行过程中离不开信息技术的支持,尤其是电力企业在建立了复杂的数据网和信息网后,信息技术的在电力企业中的地位日益提高,同时,信息安全也影响着电力企业的生产经营。

1电力网络和信息安全管理的主要内容

电力网络和信息安全管理主要包括三方面的内容:①安全策略;②风险管理;③安全教育。具体浅析如下:

1.1安全策略

信息安全策略根据企业规模、安全需求和业务发展的不同而不同,但是都具有简单易懂、清晰通俗的特点,由高级管理部门制定并形成书面文字,属于企业安全的最高方针,广泛到企业所有员工手中。

1.2风险管理

评估威胁企业信息资产的风险,首先事先假定风险可能会给企业带来的风险和损失,然后再通过各种手段,如:风险的规避、风险的转嫁、降低风险和接受风险等多种方法为相关部门提供网络和信息安全的对策建议。

1.3安全教育

所谓安全教育,就是对直接关联企业安全生产的人员进行的教育活动,其对象是安全策略执行人员,具体来说就是与安全工作相关的技术人员、管理人员和客户,并对其进行安全培训,让其了解和掌握信息安全对策。安全管理是企业管理的重要内容,必须引起企业领导层的高度重视,切实将安全相关教育纳入到企业文化的组成中,确保信息安全管理的有效执行。

2电力企业信息化发展的特征

随着我国电力企业信息化的发展,与其他企业相比,在网络信息安全方面具有以下优势特征。

2.1信息化基础设施完善

经过多年的发展,电力企业的信息化建设与其他行业的信息化建设水平相比,具有明显的比较优势,进程相对领先,各个部门工作中计算机的使用率为100%,电力企业局域网覆盖率90%以上。

2.2营销管理系统广泛应用

电力企业的营销管理系统经过多年的研究探索已基本建成,实现了用电管理信息化、业务受理计算机化,并建立了相应的客户服务中心。

2.3生产、调度自动化系统应用熟练

电力企业信息化建设的重点是提高电网运行质量和电力调度的自动化水平,现阶段,从电力企业发展的自动化水平上来看,其生产已基本达到国际先进水平。

2.4管理信息系统的建设逐步推进

电力企业积极建设管理信息系统,开发了设备、生产、电力负荷、安全监督、营销管理等信息系统,并将企业信息化建设放到重要位置,利用信息化推动企业现代化发展。

3电力企业网络和信息安全管理中存在的问题

电力企业网络和信息安全管理虽然具有以上优势特征,但同样还是存在一定的问题,具体如下:

3.1信息化机构建设不完善

部分电力企业还未设置专门的信息部门,信息科室有的在科技部门下,有的在综合部门下,缺乏规范的制度与岗位设置,这种情况下,势必会影响到网络和信息安全的管理工作。

3.2网络信息安全管理未成为企业文化的一部分

电力网络信息贯穿于生产的全过程,涉及到电力生产的各层面,但是仍然处于从属地,没有纳入电力企业安全文化建设中,进而影响到安全管理的实施力度。

3.3企业管理革新跟不上信息化发展的步伐

电力企业管理革新与信息技术的发展与应用相比还较为滞后,企业不能及时的引入先进的管理与业务系统,导致企业信息系统不能发挥预期的作用。

3.4网络信息安全存在风险

电力企业网络信息安全与一般企业网络信息相比,有共同点,也有自自身的特殊性,实践中必须认真分析研究,具体表现为:①网络的结构不够合理,电力网络建设要求,网络建设要区分外网和内网,且内外部网络要保持物理隔离,但是部分电力企业的核心交换机选择不合理,导致在网络中所有网络用户的地位是平等的,因而很容易出现安全问题。②企业内部风险,由于企业内部网络管理人员对于企业的网络信息结构与系统应用十分熟悉,一旦泄漏重要信息,就会带来致命的信息安全威胁。③现阶段互联网使用存在的风险,目前很多电力企业的网络已经与互联网发生了关系,一些客户甚至可以直接访问电力系统的网络资源,在提供方便之门的同时也要高度关注其可能带来的信息安全和计算软硬件安全风险。④网络管理专业技术人员带来的风险,主要是网络管理人员的素质风险,现阶段电力企业的网络建设还存在重建轻管,重技轻管的问题。出现了诸如专业技术人员综合素质不高,一些安全管理制度不健全、落实不够有力、安全意识不强、管理员配备不当等威胁到电力企业网络信息安全性的问题。⑤计算机病毒侵害,计算机病毒的扩散速度快,网络一旦感染病毒,整个电力网络系统就会处于崩溃的状况。⑥系统出现的安全风险,这方面主要指操作系统、数据库系统以及内部各种应用软件系统等存在的风险,这些系统很容易导致外界的攻击,一些黑客采取专业手段可以很轻易获取管理员权限,实施拒绝服务攻击。

4电力企业网络和信息安全管理对策

4.1建立健全网络和信息安全管理组织架构

网络和信息安全管理实行统一领导、分级管理原则,企业的决策层组成领导小组,由企业各部门的管理者作为安全小组的管理层。网络和信息安全管理实行专业化管理,包含信息安全规划、信息安全监督审计、信息安全运行保障等职能小组。

4.2构建网络和信息安全管理体系框架

在网络信息安全模型与电力信息化的基础上,科学构建网络和信息安全管理体系框架,主要区分信息安全策略、安全运行、安全管理、安全技术措施四个模块,

4.3建立网络信息安全防护对策,合理划分安全域

网络信息安全防护实行双网双机管理,分为信息内网和信息外网,内外网采用独立的服务器及桌面终端,通过逻辑强隔离装置隔离内外网。按照业务类型进行安全区域划分为边界、网络、主机、应用四个层次,实现不同区域防护的差异化及独立性。对于网络安全的核心区域必须实施重点安全防范,比如该区域的服务器、重要数据、数据库服务器,一般用户无法直接访问,安全级别高。电力企业内部计算机和网络技术的应用,划分为管理信息区和生产控制区,建立电力调度数据网专用网络,采用不同强度的安全设备隔离各安全区,数据的远方安全传输采取加密、认证、访问控制等技术手段,实现纵向边界的整体安全防护。

4.4网络信息安全管理制度建设

为确保电力企业网络信息安全,必须做好网络信息安全管理制度建设,具体要做好以下几个方面的内容:①建立计算机资产管理制度、网络使用管理制度、健全变更管理制度,对资产进行标识和管理,执行密码使用管理制度。②实施信息的安全分级保护举措,依据国家相关规定,开展网络信息系统审批、定级、备案工作,严格执行等级保护制度,严格保密核心程序和数据。③做好网络信息安全运行保障管理,对信息系统设备实行规范化管理,及时升级防病毒软件,严格系统变更,及时报告信息系统事故情况,分析原因并落实整改。④建立病毒防护体系,安装的防病毒软件必须具有远程安装、远程报警、集中管理等多种功能,不可将来历不明或是随意从互联网上下载的数据在联网计算机上使用,一旦发现病毒的存在,员工应熟练掌握发现病毒后的处置办法。

4.5信息安全技术保障举措

为切实有效的落实信息安全防护要求,必须根据信息安全等级防护制度落实好“分级、分区、分域”的防护策略,从而更有效的落实信息安全防护预案,根据信息系统定级水平,实施强逻辑隔离措施,做好安全区域的隔离和划分工作。

4.6规范企业人员的管理

规范人员管理首要的是用制度管好人:①企业高层应以身作则,这样员工才可以遵循信息安全管理的要求,由于高层掌握着企业更多的信息资源,密级也高,一旦出现泄漏,会给企业带来更大的损失。②对于关键岗位人员管理要尤其重视,比如:开发源代码人员,直接接触商业机密的人员,从事信息安全管理的人员,需要进行严格管理,定期检查,避免出现“堡垒从内部突破”的机会。③对于离职人员这个群体也不可忽视,必须做好离职人员信息安全审计工作,离职前,必须要求其变更其访问权限,与接手人员一起清点和交接好信息资产,避免信息泄漏事件的发生。④加强与供应商和合作伙伴信息安全的管理,在日常的交流中严格遵守规定,不得随意公开和透露相关信息。

4.7做好对企业信息资产管理分析

依据信息资产价值,实现根据载体性质不同、形式不同、来源不同做好资产的识别,提高企业劳动生产率,强化信息资产观念,树立企业良好形象。全面、系统、科学的管理信息资产,完善资产管理手段。利用信息资产资源使生产力要素保值增值,推动信息资产共享共建,实现实现外源信息资产的再增值,信息资产的再创新。4.8建立信息安全应急保障机制有风险的地方就要有应急预案,对于电力企业网络信息安全尤其应该如此,要不断健全电力企业信息安全预案,确保设备、人力、技术等应急保障资源切实可用,要加强系统的容灾建设,建立恢复和备份管理制度,妥善保存相关的备份记录。

5结束语

电力网络信息安全与企业的生产经营管理密切相关,电力企业网络信息安全涉及到技术与管理,无论是硬件还是软件出现问题都会威胁到整个网络系统,电力企业网络信息安全管理涉及到人、硬件设备、软件、数据等多个环节,所以其必须着眼整个电力企业的网络信息系统加强顶层建设,实施统一规划,搞好统筹兼顾,建立一套完整的信息安全管理体系,切实做好安全防范工作,解决电力企业信息安全管理问题,才能确保电力信息系统安全、稳定、可靠、高效地运行,有效避免安全问题的存在,保证电力企业的正常生产经营。

参考文献

[1]何隽文.电力企业网络和信息安全管理策略思考[J].中国高新技术企业,2016,28.

[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息技术,2013,01.

[3]牛斐.电力企业网络信息安全的防范措施[J].科技传播,2012,16.

[4]吴青.浅析网络信息安全管理在电力企业中的应用[J].中国新通信,2013,23.

[5]向继东,黄天戊,孙东.电力企业信息网络安全管理[J].电力系统自动化,2003,15.

篇2

关键词:终端管理;安全;应用

伴随邢台烟草业务发展和业务信息化建设的深入,现有网络规模不断扩大,连入邢台烟草内部网络(内部网络全文简称内网)的计算机数量逐年增加。随之而来安全问题与日俱增,不单单只是影响了内网用户自己,更为严重的是可能导致网络瘫痪,从而使整个业务不能正常开展。面对上述安全隐患,邢台烟草采用终端安全控制技术,部署内网终端安全管理系统,加强对网络终端的统一安全管理,保护内网的安全。

1邢台烟草内网现状

邢台烟草内网由机关网络和19个下属单位网络两部分组成,与外网物理分离。市公司机关网络采用双星形网络架构,核心设备有冗余。中心机房服务器及房服务器核心交换机、机关楼层网络直接接入核心交换,下属单位网络通过路由器接入核心交换。机房在关键出口和网段都部署防火墙、入侵检测、防病毒网关等安全设备。大部分用户终端安装网络版的杀毒软件,采用静态固定IP地址访问网络,没有任何接入控制措施。因为终端引发的内网安全问题不断出现,除了危害终端自己外,更为严重的是可能导致网络瘫痪,影响信息系统的正常运行。

2邢台烟草内网安全建设需求

2.1终端合法性验证需求

由于现有网络没有准入控制,外来设备的接入无法控制,只能靠规章制度管理。假如这个漏洞被外来人员或者木马利用,就可以访问内网任何资源,也可进行任何攻击,或者窃取公司的重要的数据和信息。这使得在网络入口进行身份认证显得尤为必要,确保只有合法身份的用户才能进行正常的网络访问。

2.2终端安全性判断需求

公司内网存在一定量的不符合安全策略的终端(比如如补丁更新不及时、未按要求装防病毒软件、病毒库升级不及时、系统配置有缺陷等)计算机,一旦被攻克,很可能带有各种各样的安全缺陷,导致网络或系统瘫痪。

2.3降低终端管理需求

当前对终端的管使用人工管理,造成网内终端软硬件资产统计费事费力,难以及时跟踪终端设备的资产变化,造成设备管理的混乱。由于没有升级服务器,也不能上外网,现有系统升级包和补丁分发升级完全依赖人工,不但人力成本投入大,而且导致升级时间滞后,存在很大的安全隐患。因此,采用部署终端管理技术进行集中管控,使信息人员有更大精力投入到安全中来,减轻运维压力。

2.4支持多种准入控制方式需求

考虑到未来不同的终端设备(桌面终端、手机、平板等)需要不同的应用场景或技术限制,需要网络支持不同的准入控制技术去适应不同的终端设备,以确保网络准入控制的覆盖率。

3邢台烟草内网终端安全管理系统的实现

3.1系统架构

内网终端安全管理系统主要由上层的网络准入层、中层的控制层和底层的终端管理构成。由终端的客户端进行集中的身份验证、安全扫描等;运维人员可以在中控分析报告、配置安全标准和管理策略;底层的终端管理实现远程维护、补丁管理、软件定制、资产管理等功能对终端设备集中管控。

3.2系统部署方式

该系统硬件由核心服务器、准入控制器、补丁服务器、无线控制器和无线接入点构成。相关的硬件安装在旁路,不需要改动当前的网络拓扑,没有形成新的络故障点。由于大部分网络设备支持802.1x,并且它的认证方式的控制力度强,因此终端设备采用802.1x认证的方式接入网络,。

4邢台烟草内网终端安全管理系统应用效果

通过内网终端安全管理系统应用实现了对所有终端进行管理和控制,符合邢台烟草适合当前信安全息工作需要,为信息安全管理提升提供了技术支撑。

4.1有效的保护了内网的边界

内网终端安全管理系统不依赖于现有网络基础架构,旁路接入,使现有的网络无需做任何改动,实现集中的管理用户终端对其所访问网络的限制。而终端想要接入到内网时,内网终端安全管理系统首先强制验证身份,否则无法获得使用网络的权限;然后身份验证没有问题的终端也必须评估终端的健康状态;最后是只有合法身份并且符合管理要求的终端方能访问内网资源。为减少对网络资源的占用,定期检测终端的安全状态,对不合规的终端按照实际的需要,系统提供一定修复的机制,从而达到防护内网边界的目的。

4.2方便了信息资产管理,减轻了运维的压力

终端的管理是一项费时费力的工作,通过该系统对资产实现了统一管理,统计工作简单了,可以实时关注信息资产的变化。面对对数量众多的、最难以管理的桌面终端建立了安全加固、集中维护的安全管理体系,当出现问题时,通过远程控制协助处理,减少信息人员的工作强度,降低了维护成本。

4.3使用了多种管理手段,提高安全能力

内网终端安全管理系统把网络管理延伸到了使用者的终端,通过终端管理、策略管理、补丁管理、安全管理等功能,有效的切断了绝大多数病毒传播途径,缩短了对系统补丁从到安装之间的时间差,实现了对用户终端的统一管理和控制,大大地增强了终端的安全系数,使内网的安全进一步强化。5结语内网终端安全管理系统整合了准入控制和终端管理这两种技术,实现了内网管理从路由交换层延伸到网络接入层,增强了终端的安全,从而整体提高网络的安全性能。该系统从多个方面满足对于信息安全防护的需求,将成为邢台烟草信息安全防御体系中重要的一环,为信息安全工作打下了坚实的基础。

参考文献

[1]杨永兴.网络准入系统在供电企业的应用研究[J].信息通信,2017(1)

[2]胡海波.网络准入技术研究[J].中国信息化,2014(7).

篇3

为了不断应对新的安全挑战,企业和组织先后部署了防火墙、UTM、入侵检测和防护系统、漏洞扫描系统、防病毒系统、终端管理系统,等等,构建起了一道道安全防线。然而,这些安全防线都仅仅抵御来自某个方面的安全威胁,形成了一个个“安全防御孤岛”,无法产生协同效应。更为严重地,这些复杂的IT资源及其安全防御设施在运行过程中不断产生大量的安全日志和事件,形成了大量“信息孤岛”,有限的安全管理人员面对这些数量巨大、彼此割裂的安全信息,操作着各种产品自身的控制台界面和告警窗口,显得束手无策,工作效率极低,难以发现真正的安全隐患。另一方面,企业和组织日益迫切的信息系统审计和内控要求、等级保护要求,以及不断增强的业务持续性需求,也对客户提出了严峻的挑战。

针对上述不断突出的客户需求,从2000年开始,国内外陆续推出了SOC(Security Operations Center)产品。目前国内的SOC产品也称为安全管理平台,由于受到国内安全需求的影响,具有很强的中国特色。

SOC这个概念,自传人中国起,就深深的烙下了中国特色。由于信息安全产业和需求的特殊性使然,由于中国网络与安全管理理念、制度、体系、机制的落后使然。

一般地,SOC被定义为:以资产为核心,以安全事件管理为关键流程,采用安全域划分的思想,建立一套实时的资产风险模型,协助管理员进行事件分析、风险分析、预警管理和应急响应处理的集中安全管理系统。

SOC 2.0时代到来

国内市场原有的的SOC 1.0产品帮助客户建立起了一个安全管理平台,实现了安全管理从分散到集中的跨越,为客户构建整体安全体系奠定了坚实的基础。但是由于传统SOC理念和技术的局限性,尚不能真正满足客户更深层次的需求,关键在于:传统SOC以资产为核心、缺乏业务视角,这是传统SOC的软肋。

对于用户而言,真正的安全不是简单的设备安全、也不仅是资产安全,而应该是指业务系统安全。IT资源本身的安全管理不是目标,核心需求是要保障IT资源所承载的业务的可用性、连续性、以及安全性,因为业务才是企业和组织的生命线。要保障业务安全,就要求为用户建立一套以业务为核心的管理体系,从业务的角度去看待IT资源的运行和安全。网御神州科技有限公司总裁任增强表示:“如果把传统的SOC称为SOC1.O,那么面向业务的SOC就可以称作SOC2.0。”网御神州提出的SOC2.0的理念,将现有的SOC系统带入了一个新的发展阶段。

SOC2.0是一个以业务为核心的、一体化的安全管理系统。SOC2.0从业务出发,通过业务需求分析、业务建模、面向业务的安全域和资产管理、业务连续性监控、业务价值分析、业务风险和影响性分析、业务可视化等各个环节,采用主动、被动相结合的方法采集来自企业和组织中构成业务系统的各种IT资源的安全信息,从业务的角度进行归一化、监控、分析、审计、报警、响应、存储和报告。SOC2.0以业务为核心,贯穿了信息安全管理系统建设生命周期从调研、部署、实施到运维的各个阶段。

如下图所示,展示了SOC技术、产品和市场的发展路线路。

整体看来,SOC经历了一个从分散到集中,从以资产为核心到以业务核心的发展轨迹。随着中国安全建设水平的不断提升,安全管理的业务导向程度会越来越明显。

在信息安全建设的早期,更多地是部署各类安全设备和系统,逐渐形成了“安全防御孤岛”,导致了安全管理的成本急剧上升,而安全保障效率迅速下降。为此,出现了最早的安全管理系统,主要是实现对网络中分散的防火墙/VPN等设备的集中监控与策略下发,构建一个较为完整的边界安全统一防护体系。

随着对信息安全认识的不断深入,安全管理体系化思想逐渐成熟,出现了以信息系统资产为核心的全面安全监控、分析、响应系统――SOC1.0。SOC1.0以资产为主线,实现了较为全面的事件管理与处理流程,以及风险管理与运维流程。

网御神州总结大量安全管理(SOC)类项目的成败得失,并与国内各个类型的客户深入交流、反复沟通需求,提炼出了新一代SOC产品的核心特征,提出了新一代的SOC2.0理念,并推出了SOC2.0的代表性产品――面向业务的统一管理系统――网神SecFox-UMS(Unified Management System)。

全方位的安全监控

这套系统在保障系统安全运行方面有很多高招,以全方位的安全调控为例,系统提供了全面的监控信息,不但包括传统安全管理系统被动采集的安全事件,而且提供主动探测的监控功能,定时轮询IT资源及其业务系统,获取相关的性能信息和安全信息,例如CPU利用率,内存利用率等性能数据,非法进程和非法开启服务端口等安全信息。

系统通过主动轮询检测,采集日志,网络旁路嗅探等多种管理和检测方式,避免了数据来源单一,提供了系统整体安全和性能状态。因为一个系统的安全信息不是孤立的,单单检测网络攻击,非法入侵等安全行为是远远不够的,实际上在现实中很多安全问题造成的结果是系统性能下降和网络阻塞,而这些安全问题本身是难于发现和规避的。例如ARP攻击、后门或者蠕虫病毒等,都是直接造成了系统和网络的故障或者严重下降后才能发现。因此,对于网络和系统的性能和故障检测也是安全管理必不可少的重要一环。系统提供了根据性能和故障信息的设备联动功能,可以根据性能和故障的直观状态表现来采取安全措施,而不是依赖探测到安全事态再进行设备联动,这样可以极大地减少以往安全系统面临的漏报和误报问题。

所有监控的内容都以Protal的形式直观的展示在系统大屏幕上,所有显示内容都可以自由定义、组合、切换。

全生命周期的安全管理

篇4

赛博兴安的网络安全管理与监察系统的应用情况到底如何?为客户带来了怎样的价值?产品具有哪些特点和优势?赛博兴安副总裁胡托任对这些问题进行了回答。

胡托任介绍,赛博兴安成立于2009年,是国家高新技术企业、软件企业,主要从事信息系统安全体系结构规划与设计、信息安全技术研究与核心产品开发、信息系统集成和信息安全服务等业务,在不同安全域网络互联、接入控制、网络安管、授权认证、信息加密、互联网大流量数据监控及数据挖掘等方面具有相当优势,在大型信息网络安全防护和整体解决方案和产品研制方面积累了丰富的经验。

赛博兴安业务主要面向大型行业用户,是国内某行业用户的网络安防技术总体单位。公司坚持以自主研发为核心,始终把产品研发能力作为核心竞争力。公司通过了国标和国军标质量管理体系认证,获得了国家二级保密资质及多项专有技术和软件著作权。2014年,赛博兴安完成了对北京赛搏长城信息科技有限公司的收购与整合,使公司的产品领域进一步拓展,技术能力进一步增强。目前,公司与北京邮电大学国家重点实验室建立了长期战略合作伙伴关系,与北方工业大学建立了信息安全联合实验室。

据悉,赛博兴安的研发技术人员人数占公司总人数的70%。胡托任说,这与赛博兴安成立的背景相关,因为公司的创始人都有很资深的技术背景,均具有15年以上的网络安全从业经验。赛博兴安自成立以来,始终把培养研发团队、积累核心技术作为立足之本。

胡托任指出,这几年赛博兴安的业绩取得持续、快速增长,一方面,得益于客户方对于赛博兴安的产品和服务的认可;另一方面,得益于公司注重研发团队的建设和技术的积累。着眼未来,国家对网络安全越来越重视,赛博兴安将把握这一良好机遇,持续加大研发投入,吸纳技术人才,不断推动技术创新。

“我们相信实实在在做技术、本本分分搞研发的企业会越来越得到市场的认可。”胡托任说。

网络安全管理平台是近年来信息安全领域的一个热点,市场上涌现出各种网络安全管理平台类的产品,赛博兴安的网络安全管理与监察系统就是其一。

胡托任介绍,赛博兴安的网络安全管理与监察系统立足于特定行业需求,为该行业构建了从上级到下级纵向级联贯通,最高达到5级级联的多级安防体系,为行业用户解决实实在在的安全问题。通过系统部署应用,用户在一级系统上能够实时监控所有下级系统的工作状态,包括所有下级节点所部署的网络安全设备的工作状态和安全防护策略应用情况。比如说,下级单位的防火墙设备是否正常工作,业务是否跳开防火墙进行网络访问,防火墙策略配置是否合理,防病毒系统的病毒库是否更新到最新。

篇5

关键词:射频识别技术

中图分类号:TP391 文献标识码:A文章编号:1007-9599 (2011) 15-0000-01

Enterprise Network Management of Using of Radio Frequency Identification Technology

Liu Wei

(China Machinery TDI International Engineering Company Ltd.,Luoyang471039,China)

Abstract:In the enterprise network equipment and network information management,the use of radio frequency identification technology on the traditional management approach to innovation,from the demand function,and so discussion of radio frequency identification technology in network management applications,network management provides a new direction.

Keywords:Radio frequency identification technology

企业的网络建设已形成一定的规模,使用传统的方式和手段已不能满足网络管理和资产管理的需要,采用射频识别技术,突破传统管理模式,来实现信息化设备管理的飞跃。

一、企业网络管理的需求分析

企业网络设备不仅具有固定资产的特征(包括购入的时间、型号、价格、数量、统一的固定资产编号和企业的管理信息等),本身还具有设备的特征(MAC地址、IP地址、管理信息、设备位置信息等),同时一些非固定资产同时也存在管理使用的问题如(软件锁、序列号等)。在资产盘点、核查等工作中不断重复地统计、效率低下、易发生错误,而设备的网络信息及维护维修信息,既与资产属性相互独立又与其相互联系,管理中往往沟通不畅,很难一一对应,信息的更新不及时,经年累月,易造成混乱,而传统的电子化管理又极为繁琐,同时设备的安全管理要求也不断提高,必须采用更科学的管理手段。

二、采用射频识别技术实施网络管理

射频识别技术的基本原理是电磁理论,是一种非接触式的自动识别技术,具有识别距离远,智能性高,使用寿命长,标签数据可以加密,存储数据容量大,存储信息更加自如等优点,是一种应用规模前景很大的高新技术。

在使用射频识别技术的应用系统中应包括读写器、电子标签、计算机网络、除此之外还应考虑读写器天线的安装、传输距离的远近等问题的影响,对应于网络管理的需求实施起来分为两个部分:一部分是系统管理中心,主要负责系统各方面基础信息和设备信息的录入和系统初始化、变更、数据交换,信息的收集和处理。另一部分是手持系统,负责初始化信息,贴标签,及数据导入,收集现场设备信息等。

(一)设备信息初始化。设备信息初始化是设备的固有信息登记,如固定资产,在RFID固定读写器上,扫描身份卡和RFID卡,完成初始化,非固定资产则需要在身份卡上标识非固定资产的时效、版本、形式等信息。

(二)设备的资产管理。设备的出入库配合设备的电子化管理形成统一的手续通过读取设备的RFID标签即可查询设备的情况及信息。

(三)设备报废。设备报废必须经过企业的设备报废程序,经过批准、核实,实现报废,同时更改设备信息,形成设备的报废编号及详细信息。

(四)电子标签的选择。选择适合企业情况的频段的电子标签,确定和定义数据格式,形成统一的数据链。

(五)现场贴标签。将设备的初始化信息导入到手持机,然后根据企业的部门编号找到设备,将必要的信息写入标签并贴上标签。

(六)设备信息的读取、更改、回写。现场对设备进行维护和操作的时候,先读取标签内的设备信息,设备维护更改信息后,临时保存在手持机中,最后将更改后保存在手持机内的信息回写到标签内。

(七)现场数据上传。上传时保持现场的数据和系统内数据一致。

(八)数据库的建立。建立统一的企业数据库系统,完成支持系统运行的核心操作。

(九)数据同步和共享。进入系统中心的数据保持同步,同时能够随时被企业各部门有条件的查询和使用。

(十)系统的安全管理。形成系统独立的权限管理和安全管理,对网络环境、数据链形成保护。

三、射频识别网络化管理的功能

管理中心包括基础信息管理、手持机初始化、设备信息维护、数据交换、数据查询、报表等功能。

基础信息管理是对标签的数据项定义、数据语法格式定义、以及权限的管理。手持机初始化是将设备信息、设备状态信息、管理员信息等一系列基础信息和相关手持机系统程序一起导入到手持机,初始化后手持机原来存储的系统数据和程序都被刷新。设备信息维护包括录入、修改、更新设备的信息。数据交换是管理中心和手持机之间的数据交换,包括中心数据库的建立,数据的流动,数据的安全以及数据的唯一判断,不同的数据在不同数据元中处理,新、旧数据冲突等在管理中心和手持机中被定义。数据查询提供管理中心随时的系统及设备等信息的查询功能,数据库的选择提供了数据的查询能力。报表功能提供了管理中心的网络报表输出功能,根据企业管理功能支持多种报表功能。

手持机的功能包括身份确认、贴标签、标签信息扫描、设备信息读写、手持机和管理中心数据交换、数据的安全管理。

篇6

【关键词】企业,信息,安全

【中图分类号】F270.7 【文献标识码】A 【文章编号】1672-5158(2012)11-0130-02

一、企业信息安全现状

近年来,随着企业信息化进程的不断推进,许多企业都完成了涵盖基础自动化、过程控制、生产执行到专业管理的信息系统,内容覆盖了硬件网络平台建设、办公自动化(OA)、企业资源计划(ERP)、对基础网络、过程自动化进行升级改造等,企业业务的关键流程如研发、生产与销售对信息系统的依赖性非常高。企业日益复杂庞大的信息系统也无时无刻在面临来自于内部和外部的威胁。

当前企业信息可能面临的安全威胁、存在的安全隐患。

1.可能面临的安全威胁

物理安全威胁主要表现在企业的软件资产和硬件资产、面临自然灾害、环境事故及不法分子通过物理手段进行的违法犯罪等威胁;网络安全威胁主要表现在黑客攻击、垃圾邮件泛滥、病毒、木马造成网络拥塞与瘫痪,内部攻击,冲突域造成网络风暴,黑客的入侵或者使得不法员工可以通过网络泄漏企业机密等。

数据安全威胁主要表现在:数据库数据丢失,财务、客户信息及订单数据被破坏或删除、窃取、备份数据被人恶意篡改、不可预测的灾难导致数据库的崩溃等。

内部网络之间、内外网络之间的连接安全——随着企业的发展壮大,逐渐形成了企业总部、各地分支机构、移动办公人员这样的新型互动运营模式。怎么处理总部与分支机构、移动办公人员的信息共享安全,既要保证信息的及时共享,又要防止机密的泄漏已经成为企业成长过程中不得不考虑的问题。

2.可能存在的安全隐患

网络规划不完善。信息网络建设的初期,没有把构建信息安全体系作为主要的功能来实现。虽然以后采取了一些安全措施,缺乏整体性和系统性。目前从便携设备到可移动存储,再到智能手机、PDA,以及无线网络等。每一项新技术,每一类新产品的推广伴随着新的问题。企业在面临着日趋复杂的威胁的同时,遭受的攻击次数也日益增多。

技术设计不完善。随着电脑技术的不断发展,一些技术上的漏洞和设计方面的缺陷也就随之而来。如操作系统、数据库、网络软件及应用软件等各个层次及网络设备本身存在的技术安全漏洞等。

安全管理不完善。由于信息安全管理制度不健全或贯彻落实不够;员工的安全防范意识不强;构建安全体系的资金投入与运维现状需求存在矛盾等因素,导致安全管理层面的安全措施及安全技术难以有效实施。

为了防止信息安全事件的发生,通行的做法是通过部署防火墙、入侵检测、入侵防范系统、防病毒系统、数据备份、数据加密、漏洞扫描、上网行为管理系统等进行防范。然而,此类技术手段,却无法阻止人为因素导致的破坏。

针对上述分析,笔者认为,构建一个规范的信息安全保障体系必须从管理、技术两方面着手,通过建立企业内部信息安全管理体系的有效措施把可能面临的安全威胁最大限度地弱化,同时针对信息系统的“弱点”进行改进,以此降低潜在的安全危险。

二、加强信息安全工作的途径

1.建立安全体系结构框架

俗话说“三分技术,七分管理”,任何技术措施只能起到增强信息安全防范的作用。为此,管理部门首先需借助相应的行政手段制定适合本单位的信息安全管理制度,建立一个长期有效的安全管理机制。加强安全技术的管理和人员的培训,提高员工的信息化应用水平。其次,技术部门要加强物理场所的安全管理,制定相应的访问控制策略规范网络应用安全,整合现有资源实现能够支撑边界安全和访问控制的要件,同时实现从终端行为一主机全过程的完整安全,实现公司业务正常有序的运行。

2.通过实施信息安全管理体系提升管理水平

信息安全管理体系是系统地对组织敏感信息进行管理,涉及到人、程序和信息技术系统,其依据是信息安全管理体系标准-IS027001。IS027001清晰地定义了ISMS是什么,并对企业主要安全管理过程进行了详细的描述。通过对企业信息系统的信息安全方针,信息安全组织,资产管理、人力资源安全、物理和环境安全管理、通信学术研究和操作管理、访问控制、信息系统获取开发和维护,信息安全事故管理、业务连续性,符合性(IS027002要求的各个控制域)11个方面的处置,来建立企业信息安全管理体系。ISMS建设分为五个阶段,有准备阶段、风险评估阶段、实施阶段,运行阶段和持续改进阶段。

2.1 准备现状调研阶段

现状调研阶段的主要工作是对组织的信息安全管理相关政策、制度和规范、业务特征或服务、现有的组织情况、网络信息与配置、日常操作与管理等内容进行调查,以了解组织业务,挖掘组织中存在的安全问题,分析组织内可能存在的信息安全风险,参照相关标准给出差距分析报告。可以采用文件审核、问卷调查、技术工具评估及现场访谈等方式进行。

2.2 风险评估阶段

在准备阶段工作的基础上,根据IS027001标准的要求,对企业目前的信息安全现状进行风险评估,通过风险评估确定风险管理计划以及需要采取的控制措施。此外,通过风险评估,还可以了解到目前企业信息安全管理的现状,为下一步编写ISMS文件准备基础资料。

2.3 架构设计阶段

架构设计阶段可以考虑从安全策略保障体系、安全组织保障体系、安全运行保障体系、安全技术保障体系、应急恢复保障体系、保密体系等方面构建组织的信息安全总体架构。

2.4 实施阶段

实施阶段将进行ISMS文件体系的策划和编写,确定需要编写的文件数量以及各文件需要包括的控制措施。同时,将已有的操作规程、规范文件整理为具体操作手册,作为三级文件,以指导信息安全管理体系项目的后继实施,最终形成一整套符合企业信息安全管理现状的、可实施的.文件化的信息安全管理体系。

2.5 运行阶段

运行阶段将依据建立的ISMS进行实施。主要的活动有认证机构的预审、对企业信息安全专员培训、全员培训和意识教育整改活动、记录系统运行等各项活动。在体系运行一段时间以后,将通过内部审核的方式评审企业信息安全管理体系运行的符合性。

2.6 持续改进阶段

项目的完成只是企业ISMS建立和完善的一个首要步骤。要通过内审与管理评审等持续改进活动,使企业的信息安全管理工作得到不断的完善和提高。信息安全的最大挑战在于必须面对各种各样的威胁源、不断更新和不可预知的方法、在不确定的时间对企业重要信息资产产生破坏,所以必须要有能够进行持续改善的绩效管理。

3.实施、运行ISMS需要注意的问题

4.1 提高风险意识,加强安全组织建设工作;以风险评估为基础,提高风险管理的有效性;队总体经营目标为核心,制定科学的安全管理策略;通过对企业安全管理流程及标准的建立,完善企业的安全运维体系及响应机制。

4.2 提高行业信息化管理水平,信息安全体系框架构建是关键。而信息安全体系框架构建必须管理、技术两者双管齐下。

4.3 循序渐进,动态管理。信息安全体系建设并不是一蹴而就的,是分步实施、循序渐进的过程。定期进行相关的安全评估,注重各层次、各方面、各时期的相互协调、匹配和衔接。根据当前的技术环境和安全意识的深化及时排查、修改、调整相关的安全策略。

篇7

BYOD,已不仅仅只是一种潮流,也不会只是一时的流行。据相关调查显示,超过7成的企业认为在企业内部网络使用BYOD会增加企业信息安全问题,而接近8成的受访者表示,他们网络的个人设备数量比两年前多出一倍。也有研究机构表示,员工更愿意选择允许他们使用自己设备到工作场所的公司,越年轻的员工,他们越可能接受允许员工使用自己设备办公的公司。所以,禁止并不是最妥善的做法。对于我们来说,如何确保企业信息资产的安全,同时又享受BYOD带来的便捷才是我们更多的需要考虑的。

那么我们该如何做才能管理好企业新的移动智能终端设备·

国内著名的数据安全解决方案提供商,深圳虹安的安全专家认为,应对BYOD时代的新的安全需求,企业需要有新的安全管理视角。应对BYOD安全威胁,企业需要从系统层面、应用层面、设备层面建立起有效的,系统的安全管理策略,统一集中管理企业多种多样的移动终端设备,这样,才能最大程度的降低企业信息资产泄露的风险。在这方面,虹安已推出了自己的移动办公安全解决方案,并已经成功在许多企业进行了应用部署。

应用移动安全管理,解决企业BYOD安全困扰,让你鱼与熊掌兼得。

篇8

关键词:工控;网络安全;安全建设

1前言

随着工业化与信息化的快速发展以及云、大、物、智、移等新技术的逐步发展和深化实践,制造业工业控制系统的应用越来越多,随之而来的网络安全威胁的问题日益突出。特别是国家重点行业例如能源、水利、交通等的工业控制系统关系到一个国家经济命脉,工业控制系统网络一旦出现特殊情况可能会引发直接的人员伤亡和财产损失。本文主要以轨道交通行业CBTC系统业务的安全建设为例介绍工业信息安全防护思路,系统阐述了工业信息安全的发展背景及重要性,以网络安全法和工业基础设施的相关法规和要求等为依据,并结合传统工业控制系统的现状,从技术设计和管理系统建设两个方面来构建工控系统网络安全。

2工业信息安全概述

2.1工控网络的特点

工业控制系统是指各种自动化组件、过程监控组件共同构成的以完成实时数据采集、工业生产流程监测控制的管控系统,也可以说工业控制系统是控制技术(Control)、计算机技术(Computer)、通信技术(Communication)、图形显示技术(CRT)和网络技术(Network)相结合的产物[1]。工控系统网络安全是指工业自动控制系统网络安全,涉及众多行业例如电力、水利、石油石化、航天、汽车制造等众多工业领域,其中超过60%的涉及国计民生的关键基础设施(如公路、轨道交通等)都依靠工控系统来实现自动化作业。

2.2国内外工业安全典型事件

众所周知,工业控制系统是国家工业基础设施的重要组成部分,近年来由于网络技术的快速发展,使得工控系统正逐渐成为网络战的重点攻击目标,不断涌现的安全事件也暴露出工控系统网络安全正面临着严峻的挑战。(1)美国列车信号灯宕机事件2003年发生在美国佛罗里达州铁路服务公司的计算机遭遇震网病毒感染,导致美国东部海岸的列车信号灯系统瞬间宕机,部分地区的高速环线停运。这次事件主要是由于感染震网病毒引起的,而这种病毒常被用来定向攻击基础(能源)设施,比如国家电网、水坝、核电站等。(2)乌克兰电网攻击事件2015年,乌克兰的首都和西部地区电网突发停电,调查发现这次事故是由于黑客攻击造成的。黑客攻击了多座变电站,在电力公司的主控电脑系统里植入了病毒致使系统瘫痪造成停电事故。(3)旧金山轻轨系统遭勒索病毒攻击事件2016年,黑客攻击美国旧金山轻轨系统,造成上千台服务器和工作站感染勒索病毒,数据全部被加密,售票系统全面瘫痪。其实国内也发生过很多工业控制系统里面的安全事件,主要也是因为感染勒索病毒引起的。勒索病毒感染了重要业务系统里面的一些工作站,例如在轨道交通行业里的典型系统:综合监控系统、通信系统和信号系统等,其中大部分是由于移动接入设备的不合规使用而带来的风险。从以上事件可以看出,攻击者要发动网络攻击只需发送一个普通的病毒就可以达到目的,随着网络攻击事件的频发和各种复杂病毒的出现,让我们的工业系统安全以及公共利益、人民财产安全正遭受着严重的威胁。

2.3工控安全参考标准、规范

作为国家基础设施的工业控制系统,正面临着来自网络攻击等的威胁,为此针对工控网络安全,我国制定和了相关法律法规来指导网络安全建设防护工作。其中有国家标准委在2016年10月的《工业通信网络网络和系统安全建立工业自动化和控制系统安全程序》《工业自动化和控制系统网络安全可编程序控制器(PLC)第1部分:系统要求》等多项国家标准[2]。同年,工信部印发《工业控制系统信息安全防护指南》,该标准以当前我国工业控制系统面临的安全问题为出发点,分别从技术防护和管理设计两方面来对工业控制系统的安全防护提出建设防护要求。2017年6月,《网络安全法》开始实施,网安法从不同的网络层次规定了网络安全的检测、评估以及防护和管理等要求,促进了我国工业控制系统网络安全的发展。

3工业控制系统网络安全分析

轨道交通信号系统(CBTC)是基于通信技术的列车控制系统,该系统依靠通信技术实现“车地通信”并且实时地传递“列车定位”信息[3]。目前CBTC安全建设存在以下问题:(1)网络边界无隔离随着CBTC的集成度越来越高,各个子系统之间的联系和数据通信也越来越密切,根据地域一般划分为控制中心、车站、车辆段和停车场,根据业务又划分为ATO、ATS、CI、DCS等多个子系统,各区域之间没有做好访问控制措施,缺失入侵防范和监测的举措。各个子系统之间一般都是互联互通的,不同的子系统由于承载的业务的重要等级不同也是需要对其边界进行防护的,还有一些安全系统和非安全系统之间也都没有做隔离。(2)网络异常查不到针对CBTC系统的网络入侵行为一般隐蔽性很强,没有专门的设备去检测的话很难发现入侵行为。出现安全事件后没有审计记录和追溯的手段,等下次攻击发生依然没有抵抗的能力。没有对流量进行实时监测和记录,不能及时发现高级持续威胁、不能有效应对攻击、不能及时发现各种异常操作。(3)工作站、服务器无防护CBTC系统工作站、服务器的大部分采用Windows系列的操作系统,还有一部分Linux系列的操作系统,系统建设之初基本不会对工作站和服务器的操作系统进行升级,操作系统在使用过程中不断暴露漏洞,而系统漏洞又无法得到及时的修复,这都会导致工作站和服务器面临风险。没有在系统上线前关闭冗余系统服务,没有加强系统的密码策略。除此之外,运维人员可以在调试过程中在操作站和服务器上安装与业务无关的软件,也可能会开启操作系统的远程功能,上线后也不会关闭此功能,这些操作都会使得系统配置简单,更容易受到攻击。目前在CBTC系统各个区域部分尚未部署桌管软件和杀毒软件,无法对USB等外接设备的接入行为进行管控,随意使用移动存储介质的现象非常普遍,这种行为极易将病毒、木马等威胁带入到生产系统中。(4)运维管理不完善单位内安全组织机构人员职责不完善,缺乏专业的人员。没有针对信号系统成立专门的安全管理部门,未明确相关业务部门的安全职责和职员的技能要求,也缺乏专业安全人才。未形成完整的网络安全管理制度政策来规划安全建设和设计工控系统安全需求。另外将工业控制系统的运维工作外包给第三方人员后并无相关的审计和监控措施,当第三方运维人员进行设备维护时,业务系统的运营人员不能及时了解第三方运维人员是否存在误操作行为,一旦发生事故无法及时准确定位问题原因、影响范围和责任追究。目前CBTC系统的网络采用物理隔离,基本可以保证正常生产经营。但是管理网接入工控系统网络后,工控系统网络内部的安全防护措施无法有效抵御来自外部的攻击和威胁,而且由于与管理网的数据安全交互必须在工控网络边界实现,因此做好边界保护尤为重要。

4工业控制系统网络安全防护体系

工控系统信息化建设必须符合国家有关规定,从安全层面来看要符合国家级防护的相关要求,全面规划设计网络安全保障体系,使得工控体系符合相关安全标准,确保工控安全保障体系的广度和深度。根据安全需求建立安全防护体系,通过管理和技术实现主被动安全相结合,有效提升了工控业务系统的安全防护能力。根据业务流量和业务功能特点以及工控系统网络安全的基本要求来设计不同的项目技术方案,从技术角度来识别系统的安全风险,依据系统架构来设计安全加固措施,同时还要按照安全管理的相关要求建立完善的网络安全管理制度体系,来确保整体业务系统的安全有效运行。

4.1边界访问控制

考虑到资产的价值、重要性、部署位置、系统功能、控制对象等要素,我们将轨道交通信号系统业务网络划分为多个子安全域,根据CBTC业务的重要性、实时性、关联性、功能范围、资产属性以及对现场受控设备的影响程度等,将工控网络划分成不同的安全防护区域,所有业务子系统都必须置于相应的安全区域内。通过采取基于角色的身份鉴别、权限分配、访问控制等安全措施来实现工业现场中的设备登录控制、应用服务资源访问的身份认证管理,使得只有获得授权的用户才能对现场设备进行数据更新、参数设定,在控制设备及监控设备上运行程序、标识相应的数据集合等操作,防止未经授权的修改或删除等操作。4.2流量监测与审计网络入侵检测主要用于检测网络中的恶意探测和恶意攻击行为,常见有网络蠕虫、间谍和木马软件、高级持续性威胁攻击、口令暴力破解、缓冲区溢出等各种深度攻击行为[4]。可以利用漏洞扫描设备扫描探测操作系统、网络设备、安全设备、应用系统、中间件、数据库等网络资产和应用,及时发现网络中各种设备和应用的安全漏洞,提出修复和整改建议来保障系统和设备自身的安全性。恶意代码防护可以检测、查杀和抵御各种病毒,如蠕虫病毒、文件病毒等木马或恶意软件、灰色软件等。通过安全配置核查设备来及时发现识别系统设备是否存在不合理的策略配置、系统配置、环境参数配置的问题。另外要加强安全审计管理,通常包括日常运维操作安全审计、数据库访问审计以及所有设备和系统的日志审计,主要体现在对各类用户的操作行为进行审计和对重要安全事件进行记录和审计,审计日志的内容需要包括事件发生的确切时间、用户名称、事件的类型、事件执行情况说明等。

4.3建立统一监测管理平台

根据等级保护制度要求规定,重要等级在第二级以上的信息系统需要在网络中建立统一集中管理中心,通过统一安全管理平台能够对网络设备、安全设备、各类操作系统等的运行状况、安全日志、配置策略进行集中监测、采集、日志范化和归并处理,平台可以呈现CBTC系统中各类设备间的访问关系,形成基于网络访问关系、业务操作指令的工业控制环境的行为白名单,从而可以及时识别和发现未定义的行为以及重要的业务操作指令的异常行为。可以设置监控指标告警阈值,触发告警并记录,对各类报警和日志信息进行关联分析和预警通报。

4.4编制网络安全管理制度

设立安全专属职能的管理部门和领导者及管理成员的岗位,制定总体安全方针,指明组织机构的总体目标和工作原则。对于安全管理成员的角色设计需按三权分立的原则来规划并落实,必须配备专职的安全成员来指导和管理安全的各方面工作。指派专人来制定安全管理制度,而且制度要经过上层组织机构评审和正式,保持对下发制度的定期评审和落实情况的核查。由专人来负责单位内人员的招聘录用工作,对人员的专业能力、背景及任职资格进行审核和考察,人员录用时需要跟被录用人签订保密协议和岗位责任书。编制完善的制度规范,编制范围应涵盖信息系统在规划和建设、安全定级与备案、方案设计、开发与实施、验收与测试以及完成系统交付的整个生命周期。针对不同系统建设阶段分别编制软件开发管理规范、代码编写规范、工程监理制度、测试验收制度,在测试和交付阶段记录和收集各类表单、清单。加强安全运维建设,制定包含物理环境管理、资产管理、系统设备介质管理以及漏洞风险管理等方面的规范要求,对于机房等办公区域的人员进出、设备进出进行记录和控制,建立资产管理制度规范系统资质的管理与使用行为,保存相关的资产清单,对各种软硬件资产做好定期维护,对资产采购、领用和发放制定严格的审批流程。针对漏洞做好风险管理,针对发现的安全问题采取相关的应对措施,形成书面记录和总结报告。在第三方外包人员管理方面应该与外包运维服务商签订第三方运维服务协议,协议中应明确外包工作范围和具体职责。

5结束语

由于工控系统安全性能不高和频繁爆发的网络安全攻击的趋势,近年来我国将网络安全建设提升到了国家安全战略的高度,并且制定了相关的标准、政策、技术、程序等来积极应对安全风险,业务主管部门还应进一步强化网络安全意识,开展网络安全评估,制定网络安全策略,提高工控网络安全水平,确保业务的安全稳定运行。

参考文献:

[1]石勇,刘巍伟,刘博.工业控制系统(ICS)的安全研究[J].网络安全技术与应用,2008(4).

[2]李俊.工业控制系统信息安全管理措施研究[J].自动化与仪器仪表,2014(9).

篇9

一、企业财务管理的问题

企业信息技术的发展,需要依靠计算机和互联网技术。依照企业财务经营管理标准,加强企业实际发展变化的管理,提升企业财务管理的内部研究,提升企业财务处理问题的能力。依照企业财务管理模式加强企业发展变化分析,认识企业财务管理中的问题。

(一)数据安全问题互联网信息的传播需要安全管理级别。依照企业信息发展变化,对企业进行预期分析,采用开放是的互联网环境,提升企业安全级别,处理企业各种安全问题。企业将财务数据信息管理放置于企业互联网内部,这样方便财务安全的管理。但是,这样依赖信息存储的方式,会造成企业数据信息过分依赖企业存储,如果出现各种存储故障,就会影响企业的数据准确度,数据库的破坏会影响企业内部信息发展的安全性级别。

(二)软件质量参差不齐企业财务应用软件完成各种财务数据的分析和存储。财务软件的安全性是有效控制企业财务管理水平的主要工具。依照信息存储、传递、分析,提高企业安全软件信息的准确性,确保企业在各类软件应用中可以实现企业的财务管理。然而市场中,企业财务管理的种类良莠不齐,企业无法依照企业财务信息,区别企业软件功能水平,无法确定企业安全级别。企业开发部门为了有效提高财务管理软件的兼容性,将其企业的故障率,往往会造成企业软件的信息泄漏,这直接影响企业财务数据的安全级别,造成企业数据信息不稳定,直接影响企业的安全。

(三)财务业务数据更新脱节企业在分析财务业务数据状况的时候,往往从财务数据入手,直观的分析企业数据的基础来源,依照企业财务数据标准,确保企业的综合战略意义标准。依照企业财务数据对企业财务级别进行编制,客观性核真实性无法得到有效的要求。财务业务数据之间的联系较低,业务运营和上报数据之间存在偏差。财务工作人员在数据测算和接收过程中是被动的。财务人员对企业财务业务不了解,不熟悉,造成录入数据错误。录入数据不合理,无法按时完成工作,造成错误频发,企业财务业务数据脱节,直接影响企业的财务成本,造成企业运营过程中数据出现严重不合理的现象,这是不利于企业综合发展的。

(四)财务指标考核单一企业财务数据没有经过合理的规划和预测,造成企业的财务单一,只能从单一角度分析到企业的基本经营状况,对企业的综合经营水平无法进行估测。因此,无法全面的对企业整体状况进行分析,无法为企业提供合理的决策标准,无法支持企业数据变化核考核。

二、财务管理改革的对策

(一)改变传统落后财务管理思维在市场经济竞争发展的环境下,逐步改变传统的财务管理模式,从国际化角度,分析财务多元化管理理念,加强企业的多元综合资源配置,降低企业财务风险,提高企业经营决策发展目标,推进企业财务管理发展的速度。

(二)确定财务管理目标企业在发展经营中,需要确定企业的发展现状,依照企业传统发展过程,对企业财务进行必要定位,确定企业财务的管理目标,逐步提高企业综合利润,扩大企业综合规模,确保企业依照现代快速发展标准提高企业综合资产经济建设,确保企业资本利益,减少企业经营过程中的各种抵触心理状态,加强企业员工的个人利益,确保企业决策利润的最大性。

(三)加强财务内容变革加强财务内容的统计分析,伊阿好企业财务信息管理要求,确保财务数据管理标准,对企业隐形资产、未来资产进行有效预测,分析企业财务管理中的创新变革内容。其中,包括财务管理变更内容,改变企业财务的资本结构优化,提高企业成本核算管理过程。通过分析企业财务生产标准,确定以知识为基础的无形资产的财务管理,确保企业综合经营规模的扩大,实现对财务资产的快速变更管理。

(四)提高财务软件创新管理根据市场发展标准分析企业财务软件应用水平,根据企业自身发展状况,对企业财务内容进行衡量。在软件基本功能上,分析企业财务满足的基本状况,逐步提高企业财务运行发展效果。通过宇互联网的远程调控分析,确保企业业务之间的紧密沟通,确保财务数据之间的联系,提高财务系统创新效果。通过加强财务数据安全级别,确保财务高效稳定发展。引入企业财务数据防护方法,依照数据库标准对现代软件进行安全考核,分析企业财务数据的安全环境级别。运用法律手段,提高企业维护的合法效益,运用安全技术能力,依照科学管理标准,提高企业财务数据的安全级别,实现财务指标的准确性,构架和谐的科学发展管理体系,有效的预测企业发展标准,提高企业经营发展数据的规划。

三、财务管理信息的安全管理方案

(一)采用网络安全管理体系采用合理的安全网络管理体系,建立多层次、过结构管理保护系统,最大限度的确保系统基本安全。运用电算自动化,采用网络财务安全管理系统,对各类数据进行有效管理。在网络用户账户分析中,操作口令如果被控制,财务管理安全就会受到严重的影响。通过超级用户的访问,确定用户基本权限,制定有效的专用登陆用户核登陆密码,实行多方面的逻辑登陆认证方法。登陆后的时间也应当进行限制,通过超级用户限定,确定用户的实用权限,。入侵者主要是对账户进行入侵,通过口令提高安全级别,防止无法入侵性效果。创建一个用户名欺骗访问者,不设定安全权限,提高安全效果。

(二)采用多级结构的安全管理系统变准化的多级结构适合安全化系统管理。依照防盗级别记性操作控制,确保机房内部设备的温度核湿度,自动安装双路电路电源系统,组建财务信息管理信息系统。提高信息系统的安全可靠级别,依照网络结构进行局域分析,确保网络构建标准,提高企业多级结构的安全管理。

(三)采用多元访问设置端口在网络操作过程中,通过运用访问控制方法,确保安全保护效果。依照操作级别,在开机时,输入正确的用户名、密码,直接启动系统。上网过程中,需要输入口令对系进行验证,当系统识别用户合法性的时候,才可以进入系统。否则,就不可以上网。进入网络后,需要对系统资源进行分配,依照用户访问权限进行核实,在系统设置统一的前提下访问,否则不可以访问。数据的存储和修改过程中,同样需要数据权限进行处理,防止非法入侵的可能,提高会计信息电算化的控制效果,确保信息的核算标准,降低信息丢失量。

(四)对财务信息管理进行可靠解密企业财务信息的有效管理需要可靠的硬件设备配套,通过数据传输信息的功能分析,确定网络可靠性级别,依照数据信息的目标级别,确定财务数据信息的远程访问和远程通信,提高通信网络的设备动态实时监管标准。依照网路设备的动态数据进行实时备份,确保数据信息可以通过网络磁盘完成设备热备份核热处理,确保企业财务信息的安全级别。依照财务信息量对企业管理进行安全评分审核,设定合理的子系统,提高财务信息管理的安全水平。

(五)附加病毒防御功能会计电算网络依照局域网级别进行划分,通过区分信息类别,划定信息级别,依照企业负债水平,分析企业财务结算标准,确定不通销售支出、信息处理水平。通过分析企业财务的结算权益量,对不通的销售标准进行信息支配管理,提升企业财务数据信息的管理,确保企业数据信息的安全性。通过信息加密提高财务管理软件的安全级别,依照财务应用方法核方式,确定企业财务控制口令的基本程序,依照不通保密级别,分析有效提高企业财务功能的正确运行标准,提高会计电算网络的稳定性。对财务信息访问网络进行实效的管理,依照计算机操作标准,确定财务管理体系中的防御抵抗能力。通过预防核分析计算机应用过程中,可入侵的标准级别,确定客户端入口防范水平,其中包含职能病毒防范系统。利用扫描技术提高病毒文件的消除,当服务器无程序存储的时候,病毒存在在无盘中,一旦有文件写入,服务器就会对写入的文件进行传播感染。一旦程序运行,就会造成病毒拓展,直接影响系统的正常循环。另外,为了有效提高网路的安全级别,需要根据信息网络水平,提高网络信息局域网的安全级别,实现可靠性运行管理。依照网络监控系统,对访问量进行控制管理,分析网络数据资源、网络性能标准水平,分析有效提升财务管理系统的控制方法,确保网络安全,提高密钥安全性,增强财务信息的安全管理效果。依照安全性策略,确保财务信息安全效果,依照网络资源创新发展,提升资源配置管理,确保程序的正规化发展。

四、结语

篇10

随着军队物资采购机构信息化建设的不断推进,信息系统已经成为当前采办系统的核心组成部分。信息安全风险直接影响到军队物资采购系统为军队用户提供服务和对各类供应商等采购实体进行管理的能力。在关键时刻,个别重大的信息系统发生故障或瘫痪,往往会给整个军队后勤保障带来不可挽回的损失和影响,从而给整个军队建设和国防事业带来损失。

当前,军队物资采购系统根据总后关于信息化建设的精神,建立了依托干军队内部的指挥自动化网、军队综合信息网等内部指挥控制网络、办公网络、业务管理网络等信息服务和指挥网络,为军队采购管理单位、采购业务单位、科研和教学单位、军内终端客户提供广泛的信息服务。

实施信息安全管理,不仅能够有效地提高信息系统的安全性、完整性、可用性以及对相关应急采购任务的快速反应能力,同时也是保障军队物资采购系统科学发展,为军队提供最优保障力的重要手段。

一、军队物资采购信息安全风险

在军队物资采购活动中,存在各种各样的风险,都对采办的结果产生不同程度的影响。根据风险产生对象的不同,将风险分为人为风险、系统风险、数据风险等三个方面。

(一)人为风险。

人是信息安全最主要的风险因素,不适当的信息系统授权,会导致未经授权的人获取不适当的信息。采购人员的操作失误或疏忽会导致信息系统的错误动作或产生垃圾信息;违规篡改数据、修改系统时间、修改系统配置、违规导入或删除信息系统的数据,可能导致各种重大采购事故的发生。有令不行、有禁不止等人为因素形成的风险,是军队物资采购信息安全的最大风险。

(二)系统风险。

系统风险包括系统开发风险和系统运行风险。在采购项目开发过程中没有考虑到必要的信息系统安全设计,或安全设计存在缺陷,都会导致采办信息系统安全免疫能力不足。没有完善、严格的生产系统运行管理体制,会导致机房管理、口令管理、授权管理、用户管理、服务器管理、网络管理、备份管理、病毒管理等方面出现问题,轻则产生垃圾信息,重则发生系统中断、信息被非法获取。

当前的采购信息系统已是一个庞大的网络化系统,在网络内存在众多的中小型机、服务器、前置机、路由器、终端设备,也包括数据库、操作系统、中间件、应用系统等软件系统。网络系统中的任何一个环节都有可能出现故障,一旦出现故障便有可能造成系统中断,影响业务正常运作。同时,由于自然灾害、战争等突发事件造成的系统崩溃、数据载体不可修复性损失等等,都能够给采购信息系统带来很大的影响。

(三)数据风险。

数据是信息的载体,也是军队物资采购系统最重要的资产。对数据的存储、处理、获取、和共享均需要有一套完整的流程和审批制度,没有健全的数据管理制度,便存在导致数据信息泄露的风险。

二、军队物资采购信息安全的内容

通过对信息安全定义的查询,可以看到其是根据不同的环境情况各自不同的。在相对受到专业影响较小的国际标准ISOl7799信息安全标准中,信息安全是指:使信息避免一系列威胁,保障商务的连续性,尽量减少业务损失,从而最大限度地获取投资和商务的回报。

对于军队物资采购系统,信息安全管理则应该坚持系统和全局的观念,基于平战结合、立足应急保障的思想,指导组织建立安全管理体系。通过系统、全面、科学的安全风险评估,体现“积极预防、综合防范”的方针,强调遵守国家有关信息安全的法律法规及其他合同方要求,透过全过程和动态控制,本着控制费用与风险平衡的原则,合理选择安全控制方式,保护组织所拥有的关键信息资产,使信息风险的发生概率降低到可接受的水平,确保信息的保密性、完整性和可用性,保持组织业务运作的持续性。

(一)保密性。

信息安全的保密性,在确保遵守军队保密守则规定的前提下,确保信息仅可让授权获取的相关人员访问。结合当前的状况,军队物资采购系统的信息安全保密应当做熟严格分岗授权制衡机制,杜绝不相容岗位兼岗现象;严格用户管理和授权管理,防止非法用户,用户冗余和用户授权不当;加强密码管理,防止不设口令或者口令过于简熟加强病毒防范管理,防范病毒损氰控制访问信息,组织非法访问信息系统确保对外网络服务得到保护,阴止非法访问网络;检测非法行为,防范道德风险;保证在使用移动电脑和远程网络设备时的信息安全,防止非法攻击。

(二)完备性。

信息安全的完备性,是指信息准确和具备完善的处理方法。具体要求是:严格采购业务流程管理,确保采购业务流程与采购信息系统操作流程完备一熟严格控制生产系统数据修改,防止数据丢失。防止不正确修改,减少误操作;严格数据管理,确保数据得到完整积累与保全,使系统数据能够真实、完整地反映采购业务信息;严格按照军队关于物资采购规定和要求操作,减少或杜绝非标业务。避免任何违反法令、法规、合同约定及易导致业务信息与数据信息不一致、不完整的行为。

(三)可用性。

信息安全的可用性,要求确保被授权人可以获取所需信息。具体要求是:加强生产系统运行管理,确保生产系统安全、稳定、可靠运行;加强生产机房建设与管理,保障机房工作环境所必需的湿度、温度、电源、防火、防水、防静电、防雷、限制进人等要求,减少安全隐患;加强生产系统日常检查管理,及早发现故障苗头;加强系统备份,防止数据损失;严格生产系统时间管理,禁止随意修改生产系统时间;保障系统持续运标实施灾难备份,防止关键业务处理在灾难发生时受到影响。

三、军队物资采购信息安全管理

(一)信息安全机构。

军队物资采购系统应分出专人专职来负责信息安全管理工作,并协同上级业务管理单位制定信息安全管理制度和工作程序,设定安全等级,评估安全风险程度,落实防范措施方案,提出内控体系整改方案与措施,监督和评估信息安全管理成效。在与上级总部和军区、军兵种物油部管理机构之间还要有一个快速响应的信息安全事故收集、汇总、处理及反馈体系。

(二)信息安全管理制度与策略。

信息安全管理制度应针对军队物资采购系统现状与发展方向来制定,要充分考虑可操作性。现阶段可根据“积极防御、综合防范”的方针,制定内部网、OA网、外部网的管理办法,明确用户的访问权限。制定生产系统运行管理办法。严格实行分岗制衡、分级授权,严格执行生产系统时间管理、备份管理、数据管理和口令管理。

(三)信息安全分级管理。

信息安全分级管理,是将信息资源根据重要性进行分级,对不同级别的信息资产采用不同级别信息安全保护措施,国家已将信息安全等级保护监督划分为五个级别,分别为自主性保护、指导性保护、专控性保护。

军队物资采购系统可以结合实际情况,将信息资产分为“三级”或“五级”保护,目的在于突出重点,抓住关键,兼顾一般,合理保护。分级管理的方法是分析危险源或危险点,评估其重要性,再分设等级,从而采取不同的保护措施。比如,对于采购机构业务机房,可采取门禁与限制进入等方式进行保护;针对采购中相关数据的提供,可设计一定的审判流程,根据数据的重要程度,分为公开信息、优先共享信息、内部一般信息、内部控制信息、内部关键信息和内部核心信息,实施严格的授权控制;对于信息安全事故,可分为重大事故、一般事故、轻微事故等,采取不同的处置方案。

(四)信息安全集中监控与处置。

设立集中运行的信息安全监控处置中心,及时监控、发现安全事故,做到响应快速、处置果断,并实施应急恢复。结合军队物资采购系统当前实际情况,可对网络、服务器等运行设备进行集中监控,开展服务器容量管理、网络流量监控;对应用系统采取防范与监控相结合的方式,对信息系统的数据设置校验码,防止非法修改;在开发应用系统的同时,还应开发相应的审计检查监控程序,由各单位分别运行和维护,由上级采购管理机构定期查验和监督,及时发现数据信息存在的风险。

四、信息安全管理系统

实现信息安全管理的集中运行,需借助信息安全管理系统。各军队采购机构和部门可以按照上级下达的统一标准,构建基于同一操作平台的信息安全管理系统,帮助安全管理中心实现系统的监控、分析、预警等功能,实现信息安全事故处理的收集、存储、分析等功能,及时对信息风险作出反馈。

(一)监控功能。

为采办机构和部门的相关信息处理和传输设备配置专人管理,并设置机房日志管理、服务器性能日志管理、服务器容量日志管理、数据修改日志管理、流量监控日志等功能,酌情设置数据检测结果日志管理功能。通过对存储、传输和删改的操作进行管理,达到监督控制的目的。

(二)处理功能.

根据采办单位所在环境和情况,自主设置安全事故报告、响应、处置等采办信息管理功能,对于高级别信息,也可以采用每天零报告措施。通过信息处理的简化、优化和快速反应,提高信息安全保障能力,从而保证军队采购的正常进行。

(三)安全等级管理功能。

针对采办单位自身特点,设置信息资产、危险源、危险点定义与分级功能,对于不同级别的信息安全危机设定不同的保护等级,并采取不同的保护措施、监控措施、事故响应与处置措施,保证系统的稳定性和完好性。