企业信息安全应急预案范文

时间:2023-12-28 17:58:07

导语:如何才能写好一篇企业信息安全应急预案,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

企业信息安全应急预案

篇1

关键词:安全管理管理信息系统危险源辨识

煤炭企业的安全问题根源何在?如何解决呢?我们认为关键在于预防,而预防需要体系。有效的预防来自完整的体系,建立整体的安全管理体系包括全面的规划、及时的信息收集、流程化跟踪处理、多角度的对比分析,通过建立安全资源规划、安全教育、安全指标体系、监控检查、分类、评估、控制与治理、分析的管理链,实现动态优化的安全预防过程管理。

煤矿自然条件差,灾害多、煤矿数量多,大、中、小并存,差异大、煤矿机械化程度低,安全技术装备不足、煤矿从业人员结构复杂,综合素质差,管理落后。

目前,我国煤矿的安全管理主要是由管理人员凭主观意志和经验进行工作,管理技术和手段落后。这种管理模式,由于受管理人员的知识、经验和责任心的限制,很难适应矿井灾害事故的复杂多变条件,这也是煤矿灾害事故多发的原因之一。为此,下面探讨如何将安全管理系统应用于煤矿企业的安全管理中。

一、安全管理信息系统分析及设计

按照管理信息系统的研制过程,笔者首先对多家生产企业进行了调研,总结出现有安全管理系统之症结所在,(主要是安全管理中作为决策依据的信息流通不畅,如果不改变信息的收集方式、渠道及处理周期,这个问题就无法解决)从而得出关于项目目标的比较明确的认识。根据事故控制的基本模式,在系统设计时,要考虑几个信息反馈回路,而以下两个基本回路尤为重要。

其一:制表(安全检查表)检查(工作岗位)隐患评价打印(整改通知)有关部门整改(工作岗位)

其二:隐患总库制表(安全检查表)检查发现新隐患(新隐患)存档总库

因此,系统应按如下方式运行:

首先,通过危险源辨识发现来自各分厂工段的事故隐患,经过汇总、分析后,输入安技部门的中心计算机,并分别建立了两个事故隐患档案:一个是按不同的岗位来分的事故隐患档案,安全检查表的制订就是以它作为依据;另一个是按其所属的不同的专业部门来分的事故隐患档案,它是用来区分事故隐患的类型,以便制订出各种专业报表,发送至各专业部门。各个不同岗位的安全检查表通过计算机打印出来后,发送至各生产岗位。工作人员依表进行安全检查,发现事故隐患后,及时通过网络系统反馈回安技部门的信息管理中心,进行汇总,建立当前事故隐患档案。再根据按专业分隐患档案对其进行分类汇总,制订出各种不同专业报表,再通过网络系统发至各专业部门,指导其进行事故隐患整改。

如果,在当前事故隐患检查中发现未列出的新事故隐患,则把它存入事故隐患档案(包括按岗位分和按专业分事故隐患档案)不断增加内容,因此,安全检查表的内容也随之丰富。当前事故隐患档案的建立,是为了实现对各专业部门进行的隐患整改情况的跟踪监督。通过与当前事故隐患档案中情况的对照,可发现以前的事故隐患是否已得到整改,从而采取相应措施。

在系统中,建立以上三种事故隐患档案之后,还可建立伤亡事故档案,以及危险作业岗位工作人员的素质、岗位安全教育培训档案等。

二、系统的应用说明

1、危险源辨识

危险源辨识是建立安全信息管理系统的基础,也是建立此系统的第一步。进行危险源辨识工作时,不仅要分析以往发生的伤亡事故资料,还要参照来自系统外部的其它有关信息资料。危险源辨识,应掌握下列几项内容:

1)生产设备本质安全化水平,设计缺陷及作业环境缺陷;

2)人机匹配问题;

3)事故严重度和发生概率;

4)事故可能发生的模式及波及范围预测。

按此要求进行危险源辨识,再辅以系统安全分析方法,即可找出各种潜在的事故隐患,从而为安全检查表的制订和隐患的整改工作打下基础。

2、信息管理系统

主要是指设在安技部门的中心计算机信息管理系统。

1)模块设计

该系统的模块设计包括两个方面:数据存贮设计和处理过程设计。

数据存贮设计主要是确定存贮的内容和文件的组织方式。它包括各种档案文件的建立及分类。

处理过程设计主要是把模块分为四类:输入汇总、查询、打印报表和复制。

系统主控模块由下述多个功能模块组成,在菜单提示下调用子程序执行其功能。

2)程序编制

在本系统中,编程使用的语言主要是中西文FOXBASE2.1+,从数据库语言本身的优点看,FOXBASE2.1+是开发本软件非常合适的语言,而且在我国普及很广,对汉字系统的要求也不很严格,具有很强的适应性和可移植性。系统升级也很容易,用FOXBASE语言编写的程序可不做任何修改而直接在FOXPRO系统下运行。且可编译成.EXE文件,直接在DOS下运行,加强了系统的保密性和装载速度。

3、安全检查

安全检查是安全管理信息系统成败之关键。安全检查表依据从危险源辨识和系统安全分析(主要是事故树分析)得到的事故隐患档案确定。因而其内容全面、客观、具有严格的科学性。要求设计岗位检查内容各异,表格形式通用的安全检查表,同时融安全检查和设备点检的要求于一表,以减轻工人负担。检查表的主要内容包括:检查项目,检查内容(包括其它新的内容)及标准,检查结果(包括备注)以及检查人和检查日期。各危险岗位的工作人员和安全员应严格按照检查表进行检查,及时将事故隐患反馈给安技部门。如果发现的事故隐患已由工作人员或车间内部自己解决,也需记入检查表内,并注明已得到整改。

4、隐患整改

隐患整改是安全管理信息系统的最后实施体现,前面所做的一切都是为实施隐患整改创造条件,而隐患整改才是系统起作用的极为重要的手段。

应该建立以安技、设备动力、生产、运输、保卫五个专业部门为主体的隐患整改机制,凡属于设备、电气方面的信息,直接由设备动力部门解决,交通车辆事故隐患由运输部门解决,这种按系统管理,分级负责的方法有利于充分发挥各专业部门的安全生产责任及其积极性。

安技部门的信息管理系统,分系统、按职责将事故隐患制成各种专业报表,通过安全管理信息系统网络,及时反馈到有关部门的终端上。

篇2

1 引言

随着计算机和网络通信技术的快速发展,信息技术越来越多地被应用于银行各项业务,银行可以为客户提供“3A”(Anytime,Anywhere,Anyway)服务,信息技术在给业务办理带来巨大方便、高效的同时,也带来了极大的信息安全隐患。从一般概念上来讲,网络信息安全主要指网络信息的完整性、保密性、可用性、真实性和不可抵赖性。但是银行作为一个特殊的机构关乎国家经济命脉和人民生活,银行信息安全自然非常重要,它是指银行信息系统的软硬件资源及其数据受到严格保护,不受恶意的或偶然的原因而遭到更改、破坏、泄露,系统可持续稳定可靠地运行,信息服务不间断。银行信息安全是银行业务开展的基础,是银行经营稳健运行的保障。

2 我国银行信息安全的现状

自1998年3月6日,中国银行业务系统第一次成功办理电子商务交易,从此开始了中国内地网上银行业务发展的序幕。近年来,我国银行业的信息系统经历了地震、泥石流等各种各样的考验,充分说明了我国大陆银行业信息系统建设取得了一定成绩,同时监管层也颁布了《金融机构计算机信息系统安全保护工作暂行规定》、《关于进一步加强银行业金融机构信息安全保障工作的指导意见》等政策法规。目前,各大银行已经意识到网络信息安全的重要性,成立了信息安全专门管理机构,并在信息安全管理机构内养一些专业人才,并增加了信息安全的投入。

虽然中国银行业在信息安全建设方面取得了佳绩,但是银行信息安全危险依然存在,银行信息安全保障依然不能忽视。据了解,国内网络犯罪案件呈现逐年上升的态势,其中银行信息安全方面的犯罪率达到了60%以上。据互联网新闻报道,2009年上海农商银行信息系统出现故障,区域内大量营业网点无法正常办理业务;2010年2月3日中国民生银行网络信息系统出现长达4小时的系统故障,全国范围内无法办理业务;2014年2月支付宝员工在信息系统的后台下载了大量客户信息有偿出售给其他电商公司。上述事件严重影响了人民的利益,对金融企业的形象和声誉造成了极大的负面影响,充分暴露出银行业机构在网络信息安全领域有较大隐患,不容小觑。

3 银行信息安全存在的问题

银行信息安全系统的建设是一个庞大复杂的工程,大部分工作牵扯到银行业务管理水平和信息安全技术,目前无论从系统管理的角度还是从安全技术水平的角度,银行信息安全方面都存在着较多问题,下面从这两个方面展开论述。

3.1 从业务管理的角度看银行信息安全存在的问题

⑴对信息安全的认识不到位,信息安全的意识观念薄弱

银行业的信息安全问题,首先是意识和观念的问题。不管是管理层还是底层员工,能认识到网络信息安全的重要性,熟悉信息安全的基本内容和具体工作要求是非常重要的。人们往往认为信息安全的核心安全性取决于核心技术,其实这种思想是错误的,信息安全首先取决于基本规范的实施和安全手段的应用。

⑵重视信息安全产品的投入而忽视管理投入,应急预案不完备

网络信息安全投入不完全是安全产品和工具的投入,还应包括操作流程、应急处理机制策略等方面的投入,还必须配套与安全产品有相适应的过程管理机制。建立合理的流程管理机制需要投入,这些投入与安全体系的完整性有着紧密的联系,否则报警无人处理、入侵无人响应,效果并不理想。应急预案的覆盖范围必须足够广,制定规范性、系统性应急预案并进行实践检验,部分应急预案的制定与银行实际工作情况没有关联,侧重于应急预案的形式,而不注重应急演练实践检验,极少有银行机构做到模拟真实场景进行应急演练和评估风险。

⑶银行缺少信息安全管理的复合型人才

金融管理离不开管理方面的人才,金融企业信息安全管理需要复合型人才,这种复合型人才必须熟悉计算机和网络技术,又要懂银行业务流程和信息安全风险防范知识。目前,这种复合型人才还比较少。各大银行的信息安全专业技术人员大部分都是毕业于计算机或相关专业,他们对计算机专业知识相对比较了解,但是对银行业务的工作流程和信息系统潜在威胁的把握还不够。

3.2从专业技术角度看银行信息安全存在的问题

⑴银行使用的软件安全性比较弱

由于计算机应用软件是银行内部信息的载体,所以软件本身的质量相当重要。目前银行业务系统的软件体系,包括项目管理系统和软件开发生命周期都只注重软件功能、开发速度和市场,很少考虑安全的需要。现在发现管理和技术上存在的安全威胁,主要出现在应用软件安全设计上。

⑵系统漏洞和信息泄密

所谓漏洞一般是指系统设计开发人员在软件开发的时候,故意设置的。这样做的目的是为了保证银行从业人员在某些特殊情况下失去系统访问权限时可以顺利进入系统,正是因这些软件漏洞的存在,给银行业务系统带来了信息安全威胁,这样就会造成信息的泄露。其次,银行的内部职工最熟悉金融企业的计算机应用系统,他们知道那些操作能使计算机系统出现故障、损坏或泄密。某些时候金融企业裁员也可能导致计算机泄密,当裁员时某些系统账号没有及时删除,也可能导致重要敏感信息的泄露。

⑶计算机黑客的恶意入侵

网络黑客是一些具备较强计算机专业技术知识的爱好者,他们可以在他人无法察觉的情况下,利用计算机设备侵入一些重要行业的计算机系统,并从中获的有价值信息或破坏信息系统。大多数的网络黑客主要利用计算机软件系统的漏洞来入侵信息系统,入侵方法高明且多种多样,并且入侵手段更新速度也很快,从而使现有的计算机系统安全产品很难及时做出相应的预防,进而导致计算机网络经常遭到网络黑客的侵入。

⑷计算机病毒和木马

计算机病毒是目前信息安全主要威胁因素之一,而且现在的计算机病毒千奇百怪,多种多样。计算机病毒是一些计算机爱好者刻意编写的程序代码,具有类似于生物病毒的破坏性、传染性、隐蔽性等特点。为了保证银行计算机网络系统的安全运行,应重视防范病毒。另外还有就是木马程序,木马程序是一种由攻击者悄悄安装在受害人计算机上的窃听及控制程序,通常包括控制端和被控制端两个部分,被控制端程序通过网络或其他介质植入受害人计算机,控制端程序则安装在不法分子的计算机设备上,利用控制端远程的和被控制端传送数据,以窃取受害人计算机上的资源,盗取个人信息和各种重要敏感数据,给单位和个人造成相当大的损失。

⑸灾备措施不完善和基础设施故障

银行的灾难备份和恢复能力必须进一步加强,中国银行业的灾备系统类型比较单一,覆盖面还较小,尤其缺乏系统的灾难恢复方案。正因为这些情况的存在,导致了各种各样的自然灾害发生后,无法立刻启动应急预案并快速切换到备份系统,所以才会出现长达数小时的信息服务中断。计算机基础设施可以说是任何计算机系统安全运行的保障,当基础设施出现故障后,势必会造成信息服务的中断,同时这种情况的发生是不可预知的。基础设施的出现故障的原因比较复杂而且多样化,具体包括服务器电源故障、网线老化、通信中断等。

4 银行信息安全风险的应对策略与建议

从以上关于我国银行信息安全问题的分析可以知,构建一套可行的银行信息系统安全保障体系和方法,加强防范信息安全风险势在必行。因此,应做好以下方面的工作。

⑴认真做好相关专业人员的安全意识教育,而且常抓不懈

银行内部比须加强信息安全监管和惩戒力度,明确法律责任,将信息安全的责任落实到每个相关人员,出现问题谁负责追究谁,将违规操作的可能性降到最低。对于银行而言,任何的数据和客户信息都非常重要,必须有严格的保密规定,但是常常在实际工作中出现这样那样的小问题,因此要强化内部员工的安全意识教育和信息安全基础知识培训,此项工作必须常抓不懈,然后将相关内容整理成册,定期的学习考核。必要时,有机会接触重要信息的员工在进入岗位之前必须做出书面承诺,保密承诺要包括重要信息的范围以及泄密需要承担的相应责任,使每一个能接触重要信息的人员明确信息泄露的危害。同时通过培训,提高所有参与管理的人员信息安全和风险防范意识,关键是要重点培养信息安全的业务骨干。

⑵建立与灾备体系相适应的应急管理机制,两者缺一不可

日常生活中突发事件是不可预知的,尤其是各种各样的自然灾害,其破坏力比较大。如果银行能事先把预防措施做到位,做到防患于未然,就可以最大限度地减少经济损失,保证人民财产不受损失,保障国家经济安全运行。首先是要建立完善的应急预案机制,有针对性的强化应急演练,对各种自然灾害事件进行全面有效的风险评估,分类制定科学的应急方案,开展接近于实际情况的模拟应急训练,及时评估应急演练的效果,做到突发事件发生时无死角,有的放矢,同时通过应急演练检验应急预案的实用性、合理性、可行性。接下就是建立与应急机制相适应的灾难备份恢复系统,提高业务可持续性。大型的银行要积极建设“两地三中心”,中小型银行可以考虑选择灾难备份外包服务,使银行具备抵御火灾、地震、暴雨等自然灾害的能力。全面促进业务系统的连续性,着实增强银行防范风险能力。

⑶加大银行信息安全复合型人才的培养力度,拓宽培养渠道

任何科技工作都必须以人才为重心。为了彻底清除银行信息化建设中的障碍,切实保障金融企业信息安全,各大银行要大力培养信息安全复合型人才。首先根据各单位信息安全的人员结构和知识结构,在强化信息安全专业知识教育的同时,还要兼顾计算机专业知识和金融业务知识的培训,而且此项工作必须长期坚持,做好人才储备。在人才培养的同时还要与实践相结合,在学习各类信息安全知识的前提条件下,组织参与培训专业人员针对信息安全制度进行实践检验。

⑷敏感重要数据务必加密,同时安装杀毒软件

首先,加密是确保信息安全的关键技术之一。越来越多的数据要求银行的业务系统在选择加密方式时要尽可能的有多种数据防护需求,在已有的加密方式下,多模加密技术是较好的选择。多模加密技术是将非对称加密算法(如RSA)和对称加密算法(如DES和AES)相结合,在确保数据安全的同时,其多模的特性可以根据需求选择对称或非对称加密方式。另外防范计算机病毒最有效的措施就在银行的各类计算机系统中安装正版的防病毒软件,力争做到病毒防范无死角无遗漏,并且确保杀毒软件能实时更新病毒库。对于新购置的软件和类似于U盘的存储介质,在使用前银行员工须使用杀毒软件进行全面的病毒扫描,确认安全之后方可使用。

⑸进一步推进银行信息化技术法规和标准化体系建设

结合银行信息化发展的实际需要,以各种方式协作,分层次和有序的加快银行信息化技术规范和标准的建设进度。组织完善数据中心建设、数据存储、网络互连、安全加密、数据交换、安全认证、客户服务方面标准的制定。对网上银行、移动银行、电子商务等创新产品和服务,制定与之相适应的标准和规范。同时,建立科学的监督策略,通过制度建设,强化技术标准和规范的执行强度。

篇3

一、电子政务建设取得阶段性成效

(一)2014年我县职能部门建立电子政务平台37个,涉及党政、教育、水务、医疗、金融、烟草、公共安全等多个方面。其中电信新开通平台1个,联通开通平台4个,万网工程建设外网平台32个。

(二)移动公司完成了101条信息化专线建设。

二、城乡信息化发展迅速

(一)2014年全县新建基站119个,其中电信在、县城等区域新建基站11个,移动投资1200余万元建设基站61个,联通建设基站47个,覆盖全县所有乡镇。

(二)为推动城乡信息化发展,各通信服务企业纷纷出台城乡优惠政策,通过改造农村宽带、话费优惠、话机促销等方式,促进城乡信息消费,提高城乡信息化程度。其中移动公司投资600余万元,完成63个小区宽带、11个乡镇宽带和25个农村宽带建设。

三、“两化融合”工作进展顺利

(一)为更好进行“大社会”治安管理监控,我县先后完成了21家大社会视频监控项目,对56家煤矿企业进行实时监控。

(二)为做好全县经济运行分析工作,我县将具有行业代表性的32家中小企业纳入省中小企业生产经营运行监测平台进行监测,为全县经济分析提供有效参数。

(三)为更好的服务于企业,提高企业生产、管理、销售信息化水平,2014年我县共为11户企业建立移动信息基站。

四、园区信息化发展机制完善

(一)园区无线宽带建设

无线接入网在公共区域采用最新的802.11n协议标准,实现300mbit/s的高速无线接入,全面实现移动办公。

(二)骨干网建设

1、在有线接入网络上采用pon和ftto接入,实现电话网、电视网、计算机网络的三网融合。

2、在各单位内部采用塑料光纤建设以太局域网,通过千兆路由器上联到园区ip骨干网,从而实现万兆到园区,千兆到大楼,百兆到桌面的高速宽带上网。

3、在园区机房建设汇聚路由器,实现对园区信息输送的汇聚。

(三)电子商务

1、基于建设好的网络承载平台,以园区网站建设为龙头,建设统一的数据交换平台,发展统一的园区电子政务平台,实现“阳光政务”。

2、通过园区网站的建设及与大型电子商务平台的对接,为企业提供高端的电子商务平台,同时嵌入主流物流平台软件,使园区的所有物流情况全部通过电子物流平台实现指令传送和过程监管。

五、信息化安全建设体系完善

(一)贯彻落实手机实名制

积极贯彻工信部手机实名入网相关文件精神,严格要求电信、移动、联通三大电信运行商自9月起执行新用户入网时必须登记实名信息。通过手机实名制的推进,有利于杜绝非法使用手机通讯现象,促进我县的通讯事业健康发展。

(二)园区信息安全建设

1、采用mpls-vpn功能的olt设备,为园区企业提供端到端服务,为建设vpn网络提供极大方便,增强了园区企业内部网络安全性。

2、在园区环形骨干光缆的多物理路由保护下,实现对入驻企业内部网络的多路由保护。

3、在园区汇聚路由器的前端安装硬件防火墙,加强园区企业信息安全。

(三)认真开展通讯行业应急工作

根据省、市、县通讯保障应急工作安排,由我局牵头对县域三大通讯公司进行通讯应急工作检查,重点查看应急预案,车辆配备,应急器材保养等情况,对不符合规范的情况责令整改,要求三大运营商在保障日常通讯的同时,配备专人开展应急通讯工作,维护相关器材,确保在大灾大害等特殊情况下的通讯畅通。

六、2014年工作计划

(一)积极推进企业“两化融合”工作

1、促进园区企业综合信息平台建设,实现信息资源优化配制,节约企业运行成本。

2、选择双星茶业、好牛旺食品公司、同心木业等行业代表企业开展电子商务应用示范,充分发挥其辐射和示范作用。

(二)加快推进电子政务建设工程

推进全县政务外网网络基础设施的改造升级,进一步完善网络结构,打造全县党政机关各部门信息共享、数据交换的政务外网统一平台。

(三)加强信息安全

完善和落实《网络与信息安全应急预案》,提高我县处置网络与安全突发公共事件能力,确保重要计算机信息系统的实体安全、运行安全和数据安全。

篇4

对许多企业、人来说,往往要等到遇上了天灾人祸,才会想起保险的好,人们对于信息安全的认识也是如此,就连保险业也不例外。中国保险监督管理委员会处长李春亮在今年春天的一次保险业会议上表达了他对保险业信息安全的担忧:“目前保险业的信息化建设滞后于信息安全形势的发展。”

他表示:近年来,经济和金融领域的信息安全事件不断发生,保险业是信息密集型企业、行业,保险信息系统作为国家重要信息系统之一,目前信息安全基础还比薄弱,安全意识有待于提高,信息安全保障体系还不完善,还面临着严峻的挑战。

经过几年的建设,保险业信息化走过了最初的电子化和后来的数据大集中,绝大部分保险公司实现了业务、财务数据处理的全国集中,部分公司完成了业务数据的省级集中或实现了省级业务处理的集中。基本完成了大集中的保险公司和机构下一步该怎么走下去?首先当然是信息整合,对数据质量的控制和数据资产的利用,这是数据大集中自然而然的要求。另一项重要的工作则是维护信息安全,以保障集中后的庞大系统稳定运行。

其实,自信息化建设初期起,保险机构和公司就应该着手信息安全工作,但是,由于意识上的不重视,不出事就不会想起的常人思维,直到大集中的完成,他们才觉悟从技术和管理上采取最优的安全措施至关重要。

特级重要性

作为以信息处理,数据管理,金融保险服务为核心的保险企业,其信息系统面临的主要威胁也是病毒、网络攻击、网络犯罪、系统设备的损坏和各种自然灾害。但是众所周知,不论是商业保险还是社会及医疗保险,保险期短则一年半载,多则几十余年,因此,每个订单涉及的时间很长,这就意味着,这种电子化的订单可能需要一直保持几十年,这几十年的数据都必须要保存,数据何时何地发生更新都需要记录。一旦信息系统发生问题或者故障,保险企业损失的将不只是金钱,还有信用甚至可能是生存。另外,从竞争的角度来看,保险企业的客户数据都是属于高度的商业机密,一旦泄露出去将会给竞争对手以可趁之机。

所以,除了在日常运营中完善信息安全基础设施,信息安全管理的各项制度、规定,开展信息安全教育培训和宣传等工作外,保险企业还需要有抗风险和应急反应能力,以保障业务的连续性。这一点也是保险企业信息安全的重要内容。

2001年发生在美国的“9・11”事件教育了全世界的企业:如果天灾人祸降临,你得公司是否能够生存下来就要看你是否之前就进行了有效的灾备工作。作为对安全最为敏感的行业之一,保险业更是积极投入了大量的人力物力来提高自己的抗风险能力。据统计,目前,我国超过50%的保险公司开展了灾难演习或制订了灾难演习工作计划,中国平安建立了上海数据备份中心,部分公司正在建设异地灾备中心或计划建设异地灾备中心。

政府支持

保险公司积极建设灾备中心和加强各项安全管理的背后,是国家和政府对于保险信息安全的重视和支持。

中国保监会出台了一系列保障信息安全的措施,比如制定并下发了《保险机构计算机系统重大系统性故障突发事件应急预案》、《保险信息系统应急协调预案》以及《关于做好保险信息系统灾难备份工作的通知》,转发了国信办《重要信息系统灾难恢复指南》,并与国信办、国家网络与信息安全信息通报中心建立了联系、沟通、通报机制。

另外,中国保监会在督促各保险机构重视信息安全保障工作上也积极行动:首先明确了信息安全保障工作的主管领导,落实了责任部门,设立信息安全管理的专门岗位,有效地加强了信息安全保障工作的组织领导;其二,加强了信息安全相关的制度建设,目前各保险机构参考国内外相关技术标准,基本建立了信息系统安全、网络安全、机房安全制度。

篇5

关键词:绿色;通信网络;电力企业;信息安全

中图分类号:TN915.08

2014年的通信行业将仍延续之前的光明景气,但行业整体的利润规模缩小,可见利润的上升空间较大。眼下,4G牌照的发放正是得益于产业链发展如日中天的东风和政策性支持的充分肯定,使2013年的通信行业出现了新的经济增长点。基于此,可以预想,未来的通信行业及其相关行业的发展势头将一片大好。

1 通信网络与信息安全的关系

通信网络完全是国家信息安全建设的重要内容,所以电力企业信息安全与之有着密切联系。通信网络安全,就是将数据和信息被攻占的可能性降至最低,这些信息时电力企业的经济命脉,若是出现安全问题,将带来不可估量的经济损失。而通信网络在电力信息化建设过程中扮演着三大角色:不同性质计算机应用系统的信息网络公共平台的提供者;通信技术资源的开发、维护和管理者;与业务管理相关的计算机应用系统的开发、建设和使用者。

电力企业的正常运行和经营管理都离不开通信网络系统,它不仅承载企业内部的电力调度数据网络系统,而且承载着网络的互联网连接,确保其安全性是电力企业信息安全建设的重中之重,电力企业信息安全性在很大程度上决定着电力生产控制系统的安全性。所以,电力企业要加强绿色通信网络体系的构建,做好等级保护、风险评估以及安全备份等工作,全面提高通信网络安全的应急能力和风险规避能力,提高通信网络安全的管理水平,为电力企业的可持续发展奠定坚实技术基础。

2 构建绿色通信网络的必要性

目前,大部分企业依然采用普通网络进行信息互动,尽管也具有一定的安全性,但信息被盗的安全问题却时有发生,之所以会出现这种现象,主要是由于:计算机应用系统自身的开放性、互动性和共享性;新型计算机病毒的不断出现与传播;商用软件源代码的公开化问题;上述这三大方面对电力企业的信息安全造成了巨大威胁,所以必须要加以重视。电力企业必须通过构建绿色通信网络系统,将信息安全风险降至最低,为了实现这一目标,首先要做好构建完善安全机制和不断加强技术创新。

首先,构建立体化、层次化的安全管控体系。电力企业要想全面提高通信网络的技术安全水平,就要加强现有资源的优化整合,提高通信网络系统的自修复能力、应急能力和安全备份能力,具体来讲,就是要提高通信网络系统在安全漏洞自发现与修复、全程事件监控和分析、网络安全态势的综合分析、网络安全的高效管理以及安全配置的集中管控等方面的水平。由于所涉及反面比较广泛,所以要构建与之相应的安全技术体系。

其次,加强IP承载网的安全优化设计,利用安全管理中心来提高绿色通信网络系统的安全性。加强对普通计算机应用系统的管控,并在实际管理和使用过程中,加强对相关技术人员的安全教育,提高他们的保密意识和技术能力,尽量将安全风险降至可控制范围内的最低。在管理方面,要加强长效的安全管理机制的构建,确保网络管理人员及时到位,构建完善的安全评估和应急体制,等等。特别需要提出的是,为了提高系统应急能力,必须要构建完善的安全应急处理协调机制,加强应急预案体系和应急指挥体系的构建,全面加强应急队伍和技术保障建设。要做好基础信息网络建设、重要信息安全备份和安全应急处理工作,一旦出现安全故障,要确保在最短时间内加以解决,将风险和损失降至最低。

3 规划绿色通信网络的四步骤

规划绿色通信网络系统是电力企业信息建设的重要前提和基础保障,具有非常重要的现实意义。为为了实现这一目标,不仅需要严格遵守电力系统的相关规定,而且还要严格遵循相关的技术标准,所以,要想实现绿色通信网络的科学规划,需要立足于传送网络层和业务网络层,加强所用设备的检查、巡视与监控,确保信息系统安全稳定运行,强化信息通讯安全保障,主要做好以下几个方面的工作才可以:

3.1 做好业务网络规划。具体来讲,就是对提供不同业务的网络加以科学规划,包括数据网、移动通信网和计算机网等核心业务网络。业务网络规划在绿色通信网络系统构建中具有重要作用,是电力企业实现信息化的关键环节。电力企业要在既有业务网络的基础上加强安全建设,灵活利用各种手段加强对安全技术人员和管理人员的业务培训,提高电力企业业务系统的技术能力和安全意识,确保各大业务系统的正常运作。

3.2 做好传送网络规划。具体来讲,就是构建完善的业务技术支撑体系,对交换机、无线网络、移动网络和服务器等进行规划。目前,国家对信息安全问题日益重视,而电力企业信息系统的安全建设也开始提上日程,如何加强传输网络层的规范化和标准化,已经成为通信领域的一大课题。根据通信网络系统对信息传输安全性、保密性和规范性的要求,电力企业要实现对信息传输的实时监控,强化网络管理人员的保密意识,避免管理人员将重要信息外泄的非法操作现象出现,确保信息传输的安全性。

3.3 做好安全保障规划。具体来讲,就是通过成立专门的组织机构,明确各科室信息人员及时处理设备故障的工作,及时处理信息通信出现的突发事件。坚持“谁主管谁负责,谁运行谁负责,谁使用谁负责”的原则,完善各项防护措施,加强运行管理,开展防病毒、防攻击、防破坏等安全防范工作;开展全方位的通信网络隐患排查和治理工作,做好基础设备防火、防盗及电源检查与保障工作;建立特巡机制,重点监控网络设备、重要应用系统与数据库等;加强网络通道保障机制,对值班人员提出密切监控的严要求,发现问题及时解决,全面保障通信网络安全。

3.4 做好基础设施规划。具体来讲,就是对计算机、服务器等硬件设施的规划,这些硬件设施是确保通信网络系统正常运作的前提。在信息系统中,服务器承载量非常大,在信息传输过程中数据的处理工作量也急剧增长,只有实现对路由器的实时监控,定期检查路由器故障,加强基础设施建设力度,才能确保其企业通信网络系统的安全运作。此外,为了构建长效绿色通信网络系统,还要对网络安全预防、网络综合化等因素加以全面考虑,在做好信息传送网络层和业务网络层规划基础上,积极采取有效的安全预防措施,以便尽快实现绿色通信网络系统构建的信息化建设目标,实现电力企业的可持续发展。

4 结语

现代通信网络日益呈现多元化发展,数字化、宽带化和智能化已经成为必然趋势,做好网络规划和绿色通信网络系统构建,不仅可以确保电力企业的信息安全,而且还可以创造良好的社会效益和经济效益。所以,电力企业必须加强对绿色通信网络系统的构建,全面提高企业信息技术创新能力和信息安全管理能力,将企业的信息安全风险降至最低,全面提高电力企业通信网络系统的安全防护能力和安全管理水平。

参考文献:

[1]张礼莉.浅析电力企业信息网络的安全及防范措施[J].通讯世界,2013(11).

[2]郭建,顾志强.电力企业信息安全现状分析及管理对策[J].信息通信,2013(03).

[3]李艳.绿色信息通信网络中的节能减排技术应用[J].数字技术与应用,2013(08).

篇6

ITS,一场持久战——写在第十八届智能交通世界大会召开之际

我们如何赶超美国?

多义性路径识别问题探讨

业界动态

企业信息

智能交通产品数据库

基于国标DSRC的多车道自由流应用系统设计

多车道自由流不停车收费中DSRC设备技术与应用

高速公路电子不停车收费系统的管理和维护

电子不停车收费交易区域测量

ETC交易过程扣款应答报文丢失现象浅析

高速公路站亭嵌入式自动发卡系统设计方案

高速公路联网收费信息速查表的研发与应用

高速公路治超不停车检测与收费联动系统应用

单称台与多称台动态计重方式的数据分析

IC卡图像存储技术在防逃费系统中的应用

高速公路突发事件应急预案的软件实现

长江隧桥综合监控系统信息的实现

超速监测系统在长大隧道中的应用

更快,更低碳——记京津冀区域高速公路联网不停车收费系统开通

窗外是收获的季节——写在《中国交通信息化》编辑部被评选为全国交通运输行业文明示范窗口之际

路网何以变通衢?——聚焦路网监测与服务

主线收费站通行能力保障措施

汉十高速公路机电系统整合实践

使主动维修更科学

高速公路智能化系统工程项目管理

中国交通信息化赠阅申请表

业界动态

企业信息

智能交通产品数据库

ETC防跟车干扰问题解决方案

高速公路改扩建收费系统改造

收费系统车道技术柜改造

无人值守自动发卡机工作流程分析

安徽省高速公路收费数据分析

数学形态学边缘检测抗噪车牌定位系统

省域高速公路视频联网控制系统研究

襄荆高速收费监控系统双网升级改造

广深高速联网视频监控系统技术方案

一个不断升级的平台——2009全国高速公路收费站长、隧道所长及机电维修系列研修班侧记

走出招投标怪圈——写在《关于进一步加强公路工程施工招标评标管理工作的通知》一周年之际

高速公路路桥公司指挥调度中心运行要则

高速公路安全服务管理系统研究

业界动态

企业信息

智能交通产品数据库

太阳能车载电子标签OBU的设计应用

安徽省ETC系统的架构与建设

复式收费模式提升通行效率的应用分析

基于车牌识别的快速路OD信息采集技术

重庆高速公路监控系统的设计与应用

高速公路跨省隧道监控系统设计

构建基于统一网管平台的高速公路监控系统

情报板联网信息在高速公路中的应用

基于绿色能源的交通检测系统的硬件实现

现代通讯技术在高速公路客服系统中的运用

光缆线路故障点的查找与定位方法

篇7

 

在信息全球化的影响下,网络已经对人们的生活产生出了极为深刻的影响。因此,人们对网络环境下的信息安全问题也开始更加关注。在长期的发展过程中,人们将网络比喻成了一把双刃剑,虽然存在着较大的优势,但是其问题也不容小觑。在企业中运用网络,在促进企业发展的同时,也很容易造成企业中的信息出现泄漏的现象,且一旦信息泄漏,就会造成严重的影响。

 

1 企业中信息安全的重要性

 

企业想要实现长远的发展,就要保证自身信息上的安全,同时还要认识到信息安全的重要性,从长远的角度上出发来保护好信息。企业想要实现发展,就要做好基础性的工作,完善基础设施建设,建立出完善的信息安全保障系统,在健康的网络环境下来实现长远的发展。随着科学技术的不断发展,云计算、大数据以及互联网等将引领着未来IT的发展[1]。

 

2 做好企业信息安全建设的措施

 

对于企业信息安全来说,是一项系统性的工程,并需要在技术与管理上做好相关工作,这样才能保证信息的安全。因此,在实际中就要认识到技术在信息安全管理中的重要性,同时还要完善系统的管理工作,发挥出应有的作用与效果,同时还要做好风险评估与技术创新等工作,以此来保证企业中信息的安全。

 

2.1 安全风险评估

 

随着网络的不断发展,信息的种类也开始逐渐增多,这样所产生的问题也在不断的增多,并呈现出了越来越厉害的趋势,所以也就使得人们开始思考筹划信息系统的过程中,为了保证系统的健康营运而建造出全面的安全保障系统。通过对目前的应用系统进行分析与评估等工作是实际可行的办法。因此,在实际中企业中的信息系统根据风险管理的方法来对可能存在的风险以及需要进行保护的信息进行分析,以风险评估为最终结果来选择出适当的措施,应对好可能出现的风险。企业只有对安全风险进行有效的评估,才能够结合实际问题进行科学合理的分析,采取有效的措施避免风险出现。

 

2.2 实际技术上的创新与管理

 

时代的发展是建立在创新基础之上的,只有实现不断的创新,才能实现更好的发展。因此,在技术不断创新的影响下,就要提高其质量,保证效益,建立出以市场发展为基础的创新机制。对于企业来说,想要在行业市场竞争中占据一席之地,就要做好创新工作,全面实现创新理念,认识到制度创新是技术创新的基础,构建出完善的管理体系,提高程序以及方法上的科学性,同时还要保证财力上的支持,实现技术的改进与创新[2]。

 

首先,要做好技术上的创新。想要保证信息的安全,就要制定出信息的抢救措施,如进行数据恢复、备份以及销毁等安全预防措施。普遍采用的恢复技术有HD Doctor等。对于网络的正常运行来说,安全是最基础的,想要保证网络的安全,就要从多个层面上出发来进行立体保护。同时还要明确怎样进行防护,掌握风险的来源。因此,在实际中就要对网络安全风险进行评估,并将重点放在安全测试评估技术上。其目标是要掌握好相关的技术,完善的测评流程,健全风险评估的体系。

 

其次,完善管理措施。在长期的发展过程中,企业中的信息化建设开始从战术地位向着战略地位的方向发展了。因此,就要从经营战略的层面上出发,将信息化建设与企业中的经营战略结合在一起,在环境分析的基础上来制定出发展战略,及时对企业中的信息化纲领进行调整。同时还要明确的是要在满足企业发展战略的基础上来明确企业中的信息化愿景。第一,建立出完善的管理制度,明确管理的方案,以及安全服务等方面的内容,从企业自身的实际情况上出发没离开选择可以保证企业自身信息安全的产品。第二,建立出运维管理制度。在这一制度中要包含安全监控、设备设施的安全以及应急预案的处理等方面。第三,将监督检查机制落实到实际中去。通过对各项制度的实际情况进行检查,可以保证企业中信息的安全[3]。

 

2.3 充分运用防火墙技术

 

在网络信息安全的管理中,防火墙技术属于一项较为有效的安全技术,能够按照特定的规则,从而来允许以及限制数据的通过。现今很多企业都广泛应用防火墙技术,以此来保证自身企业的信息安全。并且防火墙自身具有很强的抗攻击性,不会被病毒所控制。防火墙能够有效防止黑客访问用户的及其,以此来组织黑客拷贝篡改用户的信息,以此来保证信息的安全。同时防火墙技术能够将内部的网络进行划分,从而来将重点的网段进行隔离,以此来对其进行保护。另外,一些防火墙技术也会支持互联网服务特性的企业内部构建网络技术体系,也即是所谓的VPN,VPN会将全球的LAN以及电子网进行整合,从而来专用通信线路,实现资源的共享。

 

3 结语

 

总的来说,想要保证企业中的信息安全,就要坚持从信息安全技术与做好内部管理工作上出发,通过安全技术的支撑来提高内部管理工作的效果,同时还要落实管理与监控工作,加强信息安全教育,建立出完善的管理制度,提高安全管理的水平。

篇8

关键词:网络安全;问题分析;对策探讨

1前言

随着互联网、大数据、云计算时代的到来,特别是随着网络个人信息的增多,以及公众对网络资源的依赖,网络安全对用户信息(包括个人财产安全)产生严重的威胁和影响,信息安全问题已成为制约企业跨越性、可持续发展的重要因素。为此,正视网络信息安全,从信息安全现存问题入手,分析问题的成因,制定具体的应对策略,从而营造一个安全稳定的网络环境,是当前企业信息建设的一项重要任务。信息安全涉及网络通信、密码技术、中端设备、数据传输与运用等诸多学科,是一项综合性应用课题。广义上说,有关网络信息保密性、完整性、真实性、可控性的技术和理论,都是网络信息安全所关注和研究的领域。在实际应用中,网络信息安全更多地指向构成网络闭环的硬件、终端传输及其系统中的数据,如何使这些数据资源不受偶然(或者恶意)的原因破坏、失真、更改或泄露,确保系统连续可靠、正常有序地运行。

2主要问题分析

就国内企业(包括国内大型国企)而言,由于受到我国整体信息技术水平的限制,其网络信息建设无论是硬件还是软件,都存在严重依赖国外技术的问题。以通信芯片和操作系统为例,我国在自主创新上还存在较大差距。如智能手机的操作系统,华为虽启用自主研发的“鸿蒙系统”,但国外操作系统的垄断局面还较为普遍。2018年,据相关机构的统计数据,我国国内智能手机使用美国谷歌公司安卓系统的产品占了89.3%。信息安全体系建设,不只是用信息安全产品搭建起一个信息“堡垒”,更重要的是要建立一套完善的、自成体系的信息安全制度。正如“瑞星杀毒软件”安全专家指出的,“只有有形的产品和无形的制度相互配合,才能避免核心机密被类似‘棱镜’项目所窥视。”从目前网络信息安全所暴露的问题看,有三个方面的因素常常引发网络信息安全危机。

2.1自然因素(或偶发因素)引起网络信息安全问题

主机系统和终端设施遭受自然力的破坏,如:自然灾害(地震、水灾、风暴、建筑物损毁等)对计算机网络构成威胁;电源故障、设备失常、能耗崩溃等一些偶发因素,对计算机网络构成威胁。

2.2管理应用疏漏造成网络信息安全问题

如用户在网络应用过程中,因安全意识松懈、规章制度不全、管理水平低下、操作环节失误、人为渎职积弊等对网络安全造成威胁。网络信息具有宽域开放的特征,信息采集、储存、传输、应用过程中的任何疏忽,都有可能造成泄露、失真等信息安全隐患。近年来,智能终端等移动互联设备更新速度惊人,新的开发应用层出不穷,各种“小程序”的出现令人眼花缭乱。而在实际应用过程中,企业或个人均存在“盲目跟风、自由购买、随意使用”现象,网络信息安全形势日益严峻。例如,假如用户将具备联网功能的智能手机,接入已连接涉密网关的办公计算机,其目的虽是给手机充电,却无意中等于让该智能机同时联接了互联网,进入了涉密网络空间,由此给他人植入电脑病毒带来空隙和机会。

2.3安防体系建设滞后酿成的信息安全问题

多年来,人们习惯于依赖安装杀毒软件来保障网络安全,但由于没有构建严密的防护体系,系统管理不严、人员操作不当和黑客入侵引发的系列安全问题始终未能有效解决。目前看,虽然在开发环节对操作系统的安全设置已予较高重视,并为用户设置了一定的自具式防护,但是因网络黑客手段不断升级,操作系统本身的安全漏洞和缺陷,往往在“防不胜防”中逐渐被黑客所破解和攻击。其次,在实际使用过程中,防火墙只能抵御一般性的网络攻击,一旦遇到升级版本的计算机病毒,将无法形成对系统的保护。这些先天性的、不可避免的漏洞和局限,将给网络信息安全造成严重影响。从数据资源看,数据库中的海量数据和关键信息,其中有些涉及个人隐私,有些则是涉及资金安全的重要信息。数据库的安全防御措施显然尚未建构起密不可破的层层“天网”,一旦遇到网络入侵,难以形成对数据信息的有效保护。

3对策建议

3.1要普及网络安全知识,营造信息安全环境氛围

网络信息安全教育是保守国家涉密、实现信息安全的根本,也是做好网络信息安全的基础和前提。这就要求各级组织高度重视,切实增强自身网络信息安全的意识和素质,领导带头学,业务人员主动学,自觉成为信息安全的排头兵,成为工作中的行家里手,形成自我学习、自我教育的良好氛围;通过共同参与、主动防范,端正思想认识,营造一个良好的网络信息安全氛围。

3.2要强化安全监管,健全网络信息安全体系

网络信息安全建设是一项系统工程,需要完善的工作机制与高效的管理体制,籍此推动网络信息安全的健康有序发展。从企业信息化建设需求看,首先,要完善顶层设计,明确单位信息安全建设的总体思路和指导思想,细化信息安全的实施步骤、标准要求,建立网络信息安全框架协议与制度规范。其次是科学规划,理清职责,构建科学的管理体制,包括对所在单位的编制体制进行有机整合,合理调整信息从业人员的科学分工,从而理顺管理体制,明确各自职责,推动网络信息安全工作的高效运行。

3.3要优化安防系统,完善信息安全应急预案

及时更新防病毒软件,完善具有远程安装、报警和集中管理的有效功能;建立内网认证系统,实现访问控制、身份识别、机密性、不可否认服务等;建立病毒防控机制,禁止在网上随意下载的数据往内网主机复制,禁止在联网计算机上随意使用来历不明的存储设备;紧盯网络信息系统安全检测设施和手段的发展前沿,提高网络信息安全检测监控技术,完善网络信息系统安全防护手段,提高网络信息安全技术和产品的检测评估能力;加强网络安全威胁评估,做到及时预警、预案完备、应对措施得当,对可能发生的网上意外,可能引发的舆情危机进行预测,做好预案,防止意外状况发生。

3.4要理顺信息安全管理机制,加强网络信息安全研究

应理清网络信息安全建设的总体思路,细化信息安全防范的实施步骤与标准要求,完善网络信息安全框架协议和制度规范。网络信息安全是一项系统工程,要确保其高效有序的运行,需要完善工作机制,顺畅管理体制。企业各部门要通力合作,各司其职、各负其责,共同推动信息安全建设的健康、有序发展。目前,国家层面已经成立了国家安全委员会,这对企业网络信息安全建设起到了积极促进作用,但在运行机制、制度保障等方面,还需各企业(用户)进一步优化和完善。其着力点应放在“跨域融合”上,即立足于国家安全的全局,平衡好各方利益冲突,融合好各部门的利益诉求,研究解决好信息发展与跨部门、跨领域、超越局部利益、短期利益的瓶颈问题。要高度重视网络信息安全管理存在的多头管理、职能交叉、重复建设问题,拟订网络信息系统的建设、使用、管控具体实施细则,明确责、权、利约束,破除“有利益就上,有问题就让”的积弊。要紧跟信息技术发展,加快发展网络信息安全检测和监控技术,完善网络信息系统完全防护手段,提高对网络信息安全技术和产品的检测评估能力。

3.5要广揽人才,建立一支网络信息安全队伍

当前,国内外各大企业对网络空间的安全问题越来越重视,并将网络空间视作未来企业竞争的主要手段和利益空间。对于确保网络空间安全问题,各企业的做法、手段不尽相同,但建立一支有规模、结构优、素质良的专业网络空间安全队伍,已是各企业、各从业人员的一致选择。因此,确保企业在网络空间的话语权与运行自由,必须建立一支网络空间信息安全队伍,包括落实国家网络安全人才战略,提升各类人员的安全意识和能力,加强网络信息安全专业人才的教育培训等。要创新人才培养模式,优化教学环节,在学历教育、职业培训方面共同发力,通过规模化培养,解决网络信息安全人才不足的问题,填补信息安全细分领域人才缺口。目前,信息安全人才评价标准的难点,在于不能用同一把尺子,用传统的人才评价方式来对其评价和衡量,因此,建立全面、系统的网络信息安全人才评价标准,应作为我们稳定队伍的重点来抓。

3.6要加强合作,共建安全、开放的网络空间

篇9

【关键词】电力企业;网络信息化

【中图分类号】TM73

【文献标识码】A

【文章编号】1672-5158(2012)12-0016-01

1 电力行业网络与信息安全工作开展情况

2000年以来,我国相继发生了“二滩电厂停机事件”、“故障录波器事件”、“逻辑炸弹事件”、“换流站病毒感染事件”等多起电力行业网络与信息安全事件,造成了不同程度的事故影响,威胁到了电力系统安全稳定运行,同时也暴露出了我国电力行业在网络安全接入方面、安全生产管理方面、人员信息安全培训等方面存在薄弱环节。

针对类似电力信息安全事件,2002年,原国家经贸委第30号令《电网和电厂计算机监控系统及调度数据网络安全防护规定》,对电网和电厂计算机监控系统防护提出了要求。国家电监会成立后,对电力二次系统及网络信息安全防护明确提出了“安全分区、专网专用、横向隔离、纵向认证”的总体防护策略,并制定印发了《电力行业网络与信息安全信息报送暂行办法》、《电力行业网络与信息安全应急预案》、《电力行业网络与信息安全监督管理暂行办法》等一系列管理办法,使电力行业网络与信息安全防护的理念更加系统化、具体化,增强了可操作性,电力行业网络与信息安全防护工作进入了实质性建设阶段。

2 目前我国电力信息网络的现状

(一)信息化网络基本形成多年来我国一直非常重视电力行业信息化建设。从目前状况来看,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化管理,在网络硬件方面,基本能够保证电力行业工作的正常运转;在软件建设方面,也实现了包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关在内的应用系统设施。电力系统网络化的实现,对保证安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等起到了促进作用。

(二)信息安全仍然存在不可忽视的问题、虽然网络系统已经基本形成,但是信息安全还不尽乐观,主要表现在信息网络安全还没有涉及到各个领域,其发展也是不平衡的。有的电力企业对信息的安全重视不够。如很多电力企业的网络系统还没有防火墙,有的甚至没有数据备份的概念,更没有对网络安全做统一长远的规划,因此,电力企业网络中存在许多隐患。这种安全意识的淡薄,具体工作的不到位,导致了网络信息系统的不完善,给网络的安全带来了很多的不利因素。可以说,目前我国电力系统信息安全体系还不完备,缺乏统一的信息安全管理规范。

(三)对电力系统信息网络的投入不足从目前我国电力行业网络信息的综合情况看,国家对电力行业信息化管理的投入还不均衡,特别是对边远地区的投入还有待加强。与电力行业其它方面的硬件投入相比,对网络信息的投入也不够。这就需要加大投入,以建立一个统一安全的信息网络,以保证电力系统安全。

(四)电力行业的软件开发还不到位由于经费不足等种种原因,软件开发还没有细化。如很多单位的数据库数据和文件都停留在明文存储阶段,以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息,黑客也可以绕过操作系统,从数据库管理系统的控制处获取信息。再如,用户身份认证基本上采用口令鉴别模式,而这种模式很容易被攻破。还有的应用系统使用自己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天风险特别大。以上种种情况,究其原因,还是电力软件开发得不够所致,目前的软件还不能完全适应形势的需要和工作的需要。这是个亟待解决的问题,如果这个问题解决不好,会导致大的问题出现。

3 加强电力行业网络信息安全的措施

(一)提高认识,强化信息化安全教育信息网络如何能使用安全,很大程度上在于工作人员的认识程度。安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到电力企业安全策略被理解的程度和被执行的效果。如何能保证网络信息的安全,一个重要的措施就是广泛地进行信息管理人员的培训。为了保证安全的成功和有效,电力行业的管理部门应该及时对企业各级管理人员、用户、技术人员进行安全培训,所有的企业人员必须了解并严格执行电力企业安全策略,要让各级信息管理人员,重点是了解和掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部门的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。只有这样,才能保证电力网络信息系统的安全操作。

(二)采取措施,提高信息网安全防护技术水平一是对网络防火墙高度重视。防火墙是电力企业信息网络的唯一出口,所有的访问都将通过防火墙进行,不允许任何绕过防火墙的连接。因此,做好这一通道的把关尤为关键,应该对这方面的技术重视起来,研究出更高水平的防护软件,以适应信息网安全工作的需要。二是对入侵检测系统高度重视。要部署先进的分布式入侵检测构架,保证电力企业信息系统的安全检测。入侵检测系统要采用攻击防卫技术,要具有高可靠性、高识别率、规则更新迅速等特点。三是对网络隐患扫描系统高度重视。扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以直观地对用户进行安全性能评估和检查。四是对数据加密系统高度重视。要通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。五是对数据库安全高度重视。要通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。总之,网络信息的安全技术对维护网络信息的真正安全尤为重要,因此这方面的工作需要加强。

(三)加大力度,建立统一的信息网防护体系

一是要保证信息管理工作人员体系的相对稳定。防止网络机密泄露,特别是注意人员凋离时的网络机密的泄露。二是完善软件和硬件管理体系。主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略管理要切合实际。三是要注意信息介质的安全管理。主要是备份的介质要防止丢失和被盗,报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储信息的安全。

篇10

【关键词】信息系统 外包安全 外包安全管理模式外

随着信息化技术在日常工作中的不断普及,信息系统运维已经成为信息化工作中最重要的组成之一,信息系统运维涉及数据库、中间件、硬件、存储等多个方面的专业知识,而企业内部信息化工作人员不足,专业技术能力欠缺,为保证信息系统良好、顺畅运转,需要专业化程度较高的运维服务,即信息系统运维外包服务,聘请专业技术人员对系统数据库、中间件等各个环节进行运维,随着信息系统运维外包范围的不断扩大,信息系统运维外包造成的信息安全隐患及信息安全事件不断增加,做好信息系统运维外包安全工作便成了信息化运维工作的重中之重。

1 信息系统运维外包安全管理模式分析

我们先简单分析一下常见的运维外包安全管理的模式,随着信息系统运维外包范围的不断扩大,信息系统运维外包安全管理主要由简单管理模式、制度管理模式和混合管理模式三种。

1.1 简单管理模式

主要依靠“人盯人”和运维工程师的自律实现,即指定专门人员陪同并监督运维工程师的具体操作,要求运维工程师严格遵守职业道德,达到信息系统运维外包安全管理的要求。

简单管理模式的优点是管理成本小,管理过程简单,不需要配备专门的技术人员;存在的问题主要有可操作性不强和管理效果不佳两方面:

(1)由于陪同人员的业务素养不足、技术深度不够、运维过程监管不足等原因,使得“人盯人”方法对信息系统运维外包安全管理可操作性下降,存在造成系统运维外包安全事件的隐患。

(2)信息系统运维外包工作开展过程中,基本依靠运维工程师的自律和职业操守来实现信息系统运维安全管理,难以达到信息系统运维外包安全管理要求,影响运维安全管理效果。

1.2 制度管理模式

通过运维安全制度规范运维商和运维工程师的行为,降低运维风险,实现信息系统运维外包安全管理。在运维合同签订过程中明确运维安全管理制度,并其签订运维保密协议,共同建立违反制度的处罚机制,明确约定处罚内容,在运维工程师入场工作之前先宣布管理制度和惩罚机制,用以约束其运维操作。

制度管理模式的优点是管理成本小,管理过程较为简单,管理体系相对成熟;存在的问题主要有管理可操作性不强和属于事后管理两个方面:

(1)运维管理制度的执行情况不易监控,可能造成管理制度、保密要求和惩罚机制形同虚设,不能够有效地发挥作用,降低运维系统安全管理的可操作性。

(2)制度管理模式属于事后管理范畴,即只能在事故发生后按照管理制度、保密协议和处罚机制进行追责,且追责过程中提取相关证据较为困难,追讨损失过程较为复杂。

1.3 混合管理模式

通过制度和运维安全管理设备(如堡垒机)相结合进行信息系统运维外包安全管理,即在制度管理模式的基础上,增加运维管理设备,该设备具有操作命令记录、操作过程录屏、操作权限管理、访问范围管理和访问时效管理等几个基本的功能,实现对信息系统运维外包安全的有效管理,

混合管理模式的优点是管理的可操作性强,管理体系较为成熟,属于对信息系统运维过程既有事前、事中管理,又有事后审计管理;存在的问题主要有管理成本较大和管理过程复杂两个方面:

(1)运维安全管理设备需要单独购买且需要专人进行维护,这加大了企业信息系统运维安全管理的成本。

(2)运维安全管理设备需要依据实际运维情况进行配置变更,要求设备管理人员充分了解企业网络架构、业务系统构成等内容,结合运维人员的实际情况进行操作权限、访问范围、访问时限等内容的管理,使得信息外包安全管理过程变得较为复杂。

2 信息系统运维外包安全隐患分析

依据对信息系统运维外包安全管理模式的分析,信息系统运维外包存在以下几点隐患:

2.1 信息系统运维外包造成泄密

随着企业日常工作对信息化的依赖不断加大,企业销售、财务、人力资源等重要信息均通过信息系统进行管理,如果对信息系统运维外包过程管理不严,极有可能造成重要数据泄密,对企业的发展壮大和日常工作开展造成影响。

2.2 外包工程师操作失误造成信息系统瘫痪

运维工程师技术水平良莠不齐,如不对外包工程师的运维操作进行严格规范,有可能由于操作不谨慎或误操作造成重要信息数据丢失、损坏,导致信息系统异常,甚至造成信息系统瘫痪,影响正常业务开展。

2.3 外包工程师在信息系统中植入病毒或预留后门

部分外包工程师由于利益驱动在信息系统中植入病毒或预留后门,方便其日后获取信息系统的各类资源和数据,造成信息系统运行隐患,甚至导致企业触犯国家相关法律、法规,给企业造成名誉或经济损失。

2.4 运维外包造成过度依赖

大量信息系统运维外包,造成企业内部信息化机构学习意愿下降,专业技术素养增长缓慢,发生突发事件且运维商无法及时到场,可能造成信息系统长时间停止服务,甚至长时间瘫痪,影响企业正常业务,给企业造成经济损失。

3 信息系统运维外包安全管理方法

针对信息系统运维安全隐患分析中提到的问题,我们从强化运维过程管理、加强操作风险管理、降低系统运行隐患、增强事件处理能力等四个方面进行分析,发掘出信息系统运维外包安全管理方法,用以提高信息系统运维外包安全管理水平。

3.1 完善制度管理,增加硬件保障,强化运维过程管理

(1)系统运维管理制度是信息系统运维外包安全管理工作的基础,只有拥有科学、完整、自成体系的管理制度,才有可能真正的做好信息系统运维外包安全管理工作,而制度的建立是一个长期的动态过程,即针对新的技术和管理要求要及时修订制度,将其纳入管理范畴,确保制度能够完全覆盖信息系统运维过程,同时认真落实制度,使其充分发挥规范运维商和运维工程师的作用,否则完善的制度仅仅是“一纸空文”。

(2)建立并认真执行安全事件惩罚机制,签订信息安全保密协议,加大对运维商运维过程中发生事故的处罚力度,提高运维商在出现事故后的处理成本,能够促使运维商主动加强对其人员的管理,减少信息系统运维安全事故的发生机率。

(3)引入运维安全管理类设备(如堡垒机),加强对运维人员运维过程的管理,该类设备能够全面记录运维操作、统一分配运维权限、细化管理访问范围和精确控制运维时效等方面的功能,属于信息系统运维事中管理和事后审计设备,充分利用该类设备的各项功能,对运维工程师运维操作情况进行有效规范、记录,确保对运维工程师的操作“有迹可寻”。

3.2 规范运维操作,拟定应急措施,加强操作风险管理

(1)运维工程师在进行重要操作(如数据库参数配置等)时必须出具书面告知书,经双方签字确认后方可进行操作,告知书中至少应包括操作内容、涉及信息系统、预计完成时间、可能出现的风险及风险等级预估。

(2)针对预估等级较高的风险应充分预估发生机率、影响范围等内容,拟定应急措施,确保及时解决。

(3)制定回退方案并预留充足的回退时间,针对运维过程中发生的不可预期或难以解决的问题,确保能够及时回退,保证信息系统正常运行。

3.3 测评系统安全,定期扫描漏洞,降低系统运行隐患

(1)运维工程师对信息系统进行升级后,及时聘请拥有安全评估资质的第三方进行应用系统安全评估,评估后出具有效的评估报告,依据评估结果要求运维商进行整改,直至所有问题被解决。

(2)定期对网络设备、服务器操作系统等进行漏洞扫描,有效防止系统被植入病毒或预留后门,针对新发现的漏洞及时联系运维商进行处理,确保信息系统安全运行。

3.4 提升业务素养,组织应急演练,增强事件处理能力

(1)通过专项业务培训、自主学习等方法,不断加强信息化工作人员业务素养,学习内容不仅包括数据库、信息化设备硬件维护等专业知识,还应包括管理学、统筹学、统计学等方面的知识,才能真正做到“管的高效、管的明白、管的合理”,才能促进信息系统运维外包安全管理工作朝着正确的方向发展。

(2)强化应急预案演练工作,定期组织信息化应急预案演练。演练前认真筹备,拟写演练方案,联系运维上进行应急演练技术支持;演练过程中严格按照方案进行演练,切实提高演练效果;演练后针对演练中发现的问题及时汇总、总结,逐步提高信息化工作人员处理突发事件的能力。

4 结束语

信息系统运维安全管理工作是信息系统运维工作的重要环节,做好此项工作,即能使得信息系统得到更专业、更良好的运维服务,又能最大限度的保证企业数据安全,系统稳定运行。