時間:2023-11-06 10:11:17
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業信息安全建設,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業現代信息技術廣泛運用生產經營、綜合管理之中,實現資源和信息共享,為領導提供相關輔助決策。保障企業信息安全是企業領導層、專業人員及企業全員共同面對的。信息安全是集管理、人員、設備、技術為一體系統工程,木桶原理可以很好地詮釋信息安全,一個企業安全不取決于最強項,而取決最短板。信息安全需從制度建設、體系架構、一體化防控體系、人員意識、專業人員技術水平等多方面共同建設,才能有效提高企業信息安全,才能為企業生產、經營保駕護航。
1基層供電信息安全現狀
基層供電企業信息安全建設方面,在制度建設、安全分區、網絡架構、一體化防護、人員意識、專業人員技術水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設方面較為被動,大多數都是現實之中出現某一問題,然后一個相關制度,制度修修補補。同一類問題有時出現不同管理規定里,處理辦法不一,甚至發生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統建設渠道不同,未提前進行信息安全方面考慮,管理職責不明,導致部分信息安全工作開始不順暢。
1.2安全區域劃分不明,網絡架構不清晰
基層供電企業系統建設主要由上級推廣系統和自建系統,系統建設時候相當部分系統未充分考慮系統,特別是業務部門自建系統更甚。網絡建設需要什么就連接什么,存在服務器、終端、外聯區域不明顯,網絡架構不清晰。
1.3未建立一體化安全防護體系
從近些年已經發生的各類信息安全事件來看,內部客戶端問題造成超過將近70%。內部終端用戶網絡行為控制不足,存在網絡帶寬濫用;終端接入沒有相應準入控制,不滿足網絡安全需求用戶接入辦公網絡,網絡環境安全構成極大風險;內部人員對核心服務器和網絡設備未建立統一內部控制機制;移動介質未實施注冊制管理等問題。
1.4未建立行之有效設備基線標準
網絡安全設備、操作系統、數據庫、中間件、應用系統等廠家為了某種方便需求,在設備和系統中常常保留有默認缺省安全配置項,這些恰恰是別人利用漏洞。基層供電企業在部署設備和系統時,沒有統一基線標準,沒有對設備和系統進行相應基線加固,企業存在潛在風險。
1.5信息安全意識較差,技術水平參差不齊
企業信息安全認識存在認識上誤區,常常認為我們有較強信息安全保護設備,外部不易攻破內部,事實上堡壘常常是從內部攻破的。比如企業員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業機密泄露等,這恰恰是基層供電企業全員信息安全意識較為薄弱表現。專業技術人員缺乏必要自我學習和知識主動更新,未取得專門信息安全專業人員資質,處理問題能力表現參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業信息安全為國家信息安全的重要元素,電網安全事關國計民生。2014年2月,國家成立中央網絡安全和信息化領導小組,將網絡信息安全提升前所未有高度。近年發生的“棱鏡門”事件,前幾年發生伊朗核電站“震網”病毒(Stuxnet病毒)網絡攻擊,其中一個關鍵問題就是利用移動介質擺渡來進行攻擊,造成設備癱瘓,這一系列信息安全事件都事關國家安全,因此人人都要有信息安全意識。首先要防止企業機密數據(財務、人資、投資、客戶等)泄漏;其次,保持數據真實性和完整性,錯誤的或被篡改的不當信息可能會導致錯誤的決策或商業機會甚至信譽的喪失;最后,信息的可用性,防止由于人員、流程和技術服務的中斷而影響業務的正常運作,業務賴以生存的關鍵系統如失效,不能得到及時有效恢復,會造成重大損失。建立嚴格的訪問控制,前面數據分級時有制定數據的“所有者”及給敏感數據進行分級,按照分級的要求制定嚴格的訪問控制策略,基本的思想是最小特權原則和權限分離原則。最少特權是給定使用者最低的只需完成其工作任務的權限;權限分離原則是將不同的工作職能分開,只給相關職能有必要讓其知道的內容訪問權限。通過對內部網絡行為的監控可以規范內部的上網行為,提高工作效率,保護企業有限網絡資源應用于主要生產經營上來。
3特點探析
通過我們對基層供電企業在信息安全存在問題及必要性來看,主要是管理制度、網絡信息安全技術、人員意識等方面存在問題,有以下特點。
3.1管理制度方面
常說信息安全“三方技術、七分管理”,制度建設對信息安全保障至關重要。信息安全管理制度應該有上級主管部門建立一套統一管理制度,基層供電企業遵照執行,可以根據各單位具體情況進一步細化,讓管理制度落地。從企業總體信息安全方針到具體專業制度管理上,實現全網一體化,規范化。
3.2網絡信息安全技術方面
上級專業主管部門,站在企業高度,制定專業技術標準和技術細則。從網絡安全分區、網絡技術架構、互聯網接入和訪問方式、終端安全管理、網絡準入控制等方面統一規劃,分布實施,最終實現企業網絡信息安全防控一體化。
3.3信息安全意識培養方面
企業員工信息安全意識培養是個長期的過程,不是通過一次兩次培訓就能解決的,采取形式多樣化方式來培養員工安全意識,可以通過集中培訓講課、視頻宣傳、張貼宣傳畫等方式進行。針對專業人員,要讓他們養成按照制度辦事習慣,用戶需要申請某項資源,嚴格按照制度執行,填寫相應資源申請,有時候領導打招呼也要按照制度流程來執行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業信息安全意識就會得到極大提高。
3.4專業技術人員水平方面
信息安全技術日新月異,不學習就落后,不斷收集信息安全方面信息,共同討論相關話題,建立相應培訓機制,專業人員實行持證上崗,提升專業人員實際解決問題能力,有效提高人員專業素養,成為企業信息安全方面專家。
4實施和開展
從2009年開始,先后進行一系列信息安全建設,涉及到信息安全制度建設、網絡信息安全體系架構、信息安全保障服務、人員培訓等方面,整體提高基層供電企業信息安全狀況。
4.1信息安全制度建設
2010年開始信息安全體系ISO27001、27002建設,結合企業情況,形成30個信息安全相關文件,涵蓋企業信息安全方針、等級保護、人員管理、機房管理、網絡信息系統運行維護管理、終端安全、病毒防護、介質管理、數據管理、日志管理、教育培訓等諸多方面。2013年為進一步提示公司信息化管理水平,先后增加修改建設管理、實用化管理、項目管理、信息安全管理、運維管理、綜合管理5個方面14個管理細則。經過這一系列制度建設,基層供電企業有章可循,全網信息安全依據統一,明確短板情況。
4.2建設一體化網絡與信息安全防控
首先依據電監會5號文件要求,網絡架構按照三層四區原則進行部署建設,生產實時控制大區(Ⅰ、Ⅱ區)與信息管理大區(Ⅲ、Ⅳ區)之間采用國家強制認證單向數據隔離裝置進行強制隔離,網絡架構采用核心、匯聚、接入部署。網絡接入按照功能劃分服務器區、網管區、核心交換區、用戶辦公區、外聯區、互聯網接入區,在綜合數據網上,利用MPLSVPN,根據劃分不同VPN業務、隔離相互間數據交叉。建立全網PKI/CA系統,構建企業員工在企業數字身份認證系統,已建成系統進行未采用PKI登陸系統,進行相應改造結合PKI/CA系統,采用PKI登陸,在建系統用戶登陸必須集成PKI登陸。根據企業信息安全要求,進行互聯網統一出口,部署統一互聯網防控設備,建立統一上網行為管理策略,規范員工上網行為,合理使用有限互聯網資源,審計員工上網日志,以備不時之需。建立企業統一病毒防護系統,實現病毒軟件統一安裝,病毒庫自動更新,防護策略統一下發,定期統計病毒分布情況,同時作為終端接入內網必備選項,對終端病毒態勢比較嚴重用戶進行督促整改,有效防止病毒在企業內部蔓延,進一步進化內網環境。建立統一網絡邊界安全防護,在企業內網邊界合理部署防火墻、IPS、UTM,并將其產生日志發送到統一安全管理平臺,進行日志管理分析,展現企業內部信息安全態勢,預警企業內部信息安全存在問題。利用AD域或PKI/CA進行用戶身份認證,建設統一桌面管理,所有內網用戶必須滿足最基本防病毒、安全助手、IT監控要求方可接入內網,系統啟用強制安全策略,終端采用采用DHCP,用戶不能自動修改IP地址,在DHCP服務器上實現IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認證方面可以采用NACC或交換機802.1x方式進行,不滿足要求用戶,自動重定向到指定網站進行安全合規性檢查,滿足要求后自動接入內網,強制所有用戶采用統一網絡安全準入規則。實行移動介質注冊制,極大提高終端安全性,有效保護企業信息資產。建立內部運維控制機制,實現4A統一安全管理,認證、賬號、授權、審計集中管控。規劃統一服務器、網絡設備資源池,按照用戶需求,提交相應申請材料,授權訪問特定設備和資源,并對用戶訪問行為全程記錄審計。
5結語
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
1企業信息安全相關概述
1.1信息安全的含義
迄今為止,對信息安全依然沒有一個統一和公認的定義。但是從國內外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態的角度上闡述了信息安全的基本層面,但是信息系統和網絡的影響決定了信息安全是一個動態的改變,其主要是防止企業信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2信息安全在企業中發揮的重要作用
企業信息作為企業的寶貴資源,保證企業信息的安全性對企業的生存和發展具有重要作用,主要體現在以下3個方面:一是企業信息安全是保障企業正常運行的基本前提。在網絡時代背景下,企業信息安全的內容更廣泛,再加上現代企業制度的不斷建立和完善,越來越多的企業依靠信息數據庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業信息安全是提高企業市場競爭力的必備條件。隨著市場經濟的不斷完善,企業面臨的競爭也越來越激烈,在這種形勢下,企業要想獲取市場競爭優勢就需要依靠信息安全來實現。三是企業信息安全作為企業發展戰略中重要的組成部分,而企業實施各項戰略主要是通過自身的經營活動、財務信息等開展的,這些數據也能夠將企業的戰略實施方法以及下一步計劃詳細地反應出來,因此,如果企業的信息安全無法得到保障,那么企業要實施各項戰略難度也很大。
2網絡時代下企業信息安全風險分析
2.1缺乏高度的信息安全風險意識
在網絡時代的浪潮下,很多企業都在逐步加強自身信息安全的建設,通過加大資金投入、創新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現,更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現在:個別人甚至片面地認為信息安全僅僅是網絡部門的責任,跟自身沒有多大關系;二是有個別企業領導者認為對信息安全的宣傳過度夸張,遭受網絡攻擊的概率小,一般不會發生在自己身上;三是個別企業沒有建立信息安全風險管理體系,再加上企業缺乏具體的故障系統,導致企業信息安全遭到風險時,員工往往手足無措,雖說有些企業針對自身的信息安全制定了一系列規章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。
2.2應用系統的安全性不高
企業要實現信息化建設的目的,少不了各種應用系統作支撐,但是從實際情況來看,很多企業還存在著應用系統的安全性不高等問題,進而導致企業在數據傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現非法訪問,進而引發企業信息丟失或者泄露等安全風險。另外,很多企業應用系統的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現對信息安全全方位的防范。另外,企業設置的密碼過于簡單、操作不規范等等都會增加應用系統安全的風險。
2.3技術設備和設施的作用發揮不足
個別企業為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數設施不夠合理,無法將這些設備的作用充分發揮出來。還有很多企業沒有通過建立工作日志來對安全設備、設施的運行情況進行監控,進而不能根據企業的經營情況對信息安全進行風險控制,更無法采取有效措施保障企業風險管理。
3網絡時代下控制企業信息安全風險途徑分析
3.1加強信息安全教育,提高信息安全風險意識
由于在企業信息安全控制中,提高員工的信息安全意識是保證企業信息安全的決定性因素,因此,企業應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業可以利用一些重大節日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當的激勵制度以及開展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。
3.2加強信息化建設,設置信息安全管理部門
在企業信息化建設中,信息安全作為重要的基礎,企業要強化自身的內部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業將信息安全納入安全管理范圍內,進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯動管理機制,確保信息安全管理的有效性;最后,在企業中設置信息安全管理機構,該部分的主要職能為企業信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業的信息安全風險控制創建一個良好的內部環境[2]。
3.3運用新技術,加強信息安全風險防范
當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網絡的虛擬專用網絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內部進行擴展可以實現遠程操作,建立一條分公司、商業合作商和供應商跟公司內部網絡安全聯系,從而確保信息交換的安全性,保證數據傳輸的安全性。(2)防火墻技術。防火墻也被稱為訪問控制系統,主要是通過對網絡做拓撲結構和服務類型上的隔離來保障網絡安全。運用防火墻技術可以保證企業的內部網絡免受外部網絡的侵占,并阻斷非法訪問的外部網絡進入企業內部網絡,保證企業信息和資源的安全。
4結語
為了保障企業的信息安全,必須建立一個企業信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術和信息安全建設與運行四部分內容(如圖1所示),四者既有機結合、又相互支撐。企業的信息安全體系運作就是企業根據安全策略,由安全組織(或人員)以安全技術作為工具和手段進行操作,來維持企業網絡的安全運行,從而使網絡安全可靠。
安全體系的普遍問題
當前大多數企業的信息安全體系普遍存在以下四方面的問題:
信息安全策略方面:許多企業沒有統一的安全運行體系;公司的安全策略沒有正式的審批和過程,沒有公司的行政力度進行保障,使得安全策略在企業內的執行缺乏保障;缺乏規范的機制定期對信息安全策略、標準制度進行評審和修訂。
信息安全組織方面:缺乏完整、有效、責權統一的專門的信息安全組織,只是配有少量的兼職安全人員。信息安全工作沒有明確的責任歸屬,工作的開展與落實有困難;缺少信息安全專業人員,缺乏相應的安全知識和技能,安全培訓不足;缺乏對于全員的信息安全意識教育,桌面系統用戶的安全意識薄弱。
信息安全技術方面:用戶認證強度不夠;應用系統安全功能與強度不足;缺乏有效的信息系統安全監控與審計手段;系統配置存在安全隱患;網絡安全域劃分不夠清晰,網絡安全技術的采用缺乏一致性。
信息安全建設與運行方面:沒有建立起完善的IT項目建設過程的安全管理機制,應用系統的開發沒有同步考慮信息安全的要求,存在信息安全方面的缺陷;日常的安全運維工作常處于被動防御狀態;缺乏明確的檢查和處罰機制,多數企業在運維管理方面缺乏統一的安全要求和檢查;缺乏應急響應機制;對已有安全設施的維護、升級和管理不到位。
面對以上種種問題,企業必須認真考慮下列問題: 企業如何建立信息安全策略體系?企業信息安全組織如何建立?企業信息安全技術是否有效可靠?企業信息安全建設與運行是否有完整的制度保障?要解決這些問題,企業應充分利用成熟的信息安全理論成果,設計出兼顧整體性、具有可操作性,并且融策略、組織、運行和技術為一體的信息安全保障體系,保障企業信息系統的安全。
信息安全策略體系
信息安全策略體系規劃為三層架構,包括信息安全策略、信息安全標準及規范、信息安全操作流程和細則(如圖2所示),涉及的要素包括信息管理和技術兩個方面,覆蓋信息系統的物理層、網絡層、系統層、應用層四個層面。
技術安全體系
在IAARC信息系統安全技術模型中,包含了身份認證、內容安全、訪問控制、響應恢復和審核跟蹤五個部分,當前主要的信息安全技術或產品都可以歸結到上述五類安全技術要素(如圖3所示)。
充分利用信息安全的技術手段(包括身份認證、訪問管理、內容安全、審核跟蹤和響應恢復等五種保護措施),同時,結合信息安全所保護的對象層次,以及目前主流的信息安全產品和信息安全技術,完善企業信息安全技術體系框架。
整個企業信息安全技術體系的總體框架如圖4所示:
物理層安全
主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應和電磁防護等。
網絡層安全
要建立注重安全域劃分和安全架構的設計。可以根據信任程度、受威脅的級別、需要保護的級別和安全需求,將網絡從總體上分成四個安全域,即公共區、半安全區、普通安全區和核心安全區。針對不同的安全區域采用不同的安全防范手段。
安全邊界的防護。邊界是不同網絡安全區域之間的分界線,是不同網絡安全區域間數據流動的必經之路。安全區域的邊界防護是根據不同安全區域的安全需要,采取相應的安全技術防護手段,制定合理的安全訪問控制策略,控制低安全區域的數據向高安全區域流動。
針對VPN的接入安全控制。用戶遠程VPN接入主要用于員工出差時訪問內部網絡的需求和各企業小規模分支機構訪問內部網的需求。VPN(虛擬專用網)是為通過一個公用網絡(通常是互聯網)建立一個臨時的、安全的連接,是一條穿過混亂的公用網絡的安全、穩定的隧道。
網絡準入控制。網絡準入控制系統是通過對網絡用戶合法身份的驗證以及對網絡終端計算機安全狀態的檢測和評估,決定是否允許這臺網絡終端計算機接入企業網絡中。若不符合制定的準入策略,將其放入隔離區以修復,或僅允許其有限地訪問資源。降低非法用戶隨意接入企業網和不安全的計算機終端接入企業網對網絡安全帶來的潛在威脅。
做好網絡設備登錄認證。建立集中的網絡設備登錄認證系統,用于對網絡設備維護用戶的集中管理,認證用戶的身份,決定其是否可以登錄到網絡設備;通過定義不同級別的用戶,授權他們能執行的不同操作,記錄并審計用戶的登錄和操作。
系統層安全
做好系統主機的入侵檢測,針對系統主機的網絡訪問進行監測,及時發現外來入侵和系統級用戶的非法操作行為;要做好系統主機的訪問控制,系統主機訪問控制提供給系統安全管理員最有效的方法,從用戶登錄安全、訪問控制安全、系統日志安全等方面加入安全機制;要做好系統主機的安全加固,定期對服務器操作系統和數據庫系統進行安全配置和加固,在不影響業務處理能力的前提下對系統的配置進行安全優化,以提高系統自身的抗攻擊性,消除安全漏洞,降低安全風險;做好主機的安全審計工作,提供全面的安全審計日志和數據,提升主機審計保護能力,對審計數據的訪問進行嚴格控制,加強對審計數據的完整性保護。
應用層安全
隨著各種各樣的系統應用不斷深化和普及,一些應用系統安全問題不斷凸現出來。為了最大限度及時規避因應用安全問題帶來的威脅,應著力抓好六個方面的工作:建立應用安全基礎設施;健全應用安全相關規范;改進應用開發過程;組織關鍵應用安全性測試;加強應用安全相關人員管理;制定應用安全文檔及應急預案。
終端層安全
加強終端電腦的安全管理。終端安全指對接入企業網絡的終端設備(主要是臺式計算機、筆記本電腦和其他移動設備等)進行的安全管理。內容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產管理、終端補丁管理、終端配置管理、終端準入控制以及法規遵從等內容。
備份與恢復
備份與恢復是基于安全事件發生后保證災難所造成的損失在一個可以接受的范圍內、并使災難得到有效恢復的安全機制,包括數據級、應用級和業務級三個層次。參照國際標準Share78中定義的容災系統層次劃分,對不同等級的信息系統建立不同的備份與恢復機制。主要工作包括:開發容災計劃,通過對不同等級的信息系統容災需求分析,確定容災等級、RTO\RPO等容災指標、備份策略、恢復性測試要求等,設計容災方案;備份與恢復基礎設施的建設,包括建立異地災難恢復系統和重要數據的本地備份設施。
信息安全組織
信息安全組織的角色與職責要界定清晰。信息管理層進行適當的職責劃分,能合理阻止關鍵流程的破壞。同時應加強全員的信息安全意識教育,提高員工整體信息安全意識。建立安全組織與定義安全職責是密不可分的兩項工作,組織與職責的清晰定義可以有效地促進信息安全各項工作的進行,包括信息安全教育與培訓以及人員安全。企業要建立的信息安全組織要包含決策、管理、執行與監管四個層面。
信息安全教育與培訓要覆蓋公司各個層面的人員,提升整個企業人員安全的水平,同時人員安全的相關工作在制度和機制方面為教育與培訓提供有效保障。
現代供應鏈中無論是企業內部的生產、銷售訂單、合作企業的生產進度,還是企業間的資金轉帳、招投標信息,都是需要高度保密的敏感信息,這些信息的準確性、機密性將直接影響到供應鏈企業的生產和經營決策[2]。在供應鏈中,由于信息在節點企業間共享,對信息安全提出了新的要求:(1)信息安全不再是某個企業個體的事情,而是整條供應鏈所有節點企業共同面臨的問題,任何一家企業由于自身原因導致的信息安全事故,將可能危害整條供應鏈的利益。供應鏈信息安全保障工作要遠比單個企業復雜。(2)供應鏈上下游企業形成“委托—”關系,具有優勢的方往往傾向于增加信息不對稱,來獲得額外的利益。(3)由于供應鏈企業間共享的信息具有較高的商業價值,有些企業為了自身利益,可能會將共享的信息泄露給供應鏈外企業。如何既保證節點企業間的信息共享,又防止企業泄露信息、身份欺詐等有害行為的發生是供應鏈信息安全需要研究的問題。
2供應鏈信息安全現狀與問題
目前,我國企業在供應鏈管理的實踐中,對供應鏈信息安全或者重視不夠或者束手無策,存在一些較為突出的問題。
(1)信息安全意識淡薄目前我國很多供應鏈節點企業沒有意識到信息是重要資產,沒有把信息安全管理工作作為日常工作的重點。據北京谷安天下公司開展的《2011年度中國企業員工信息安全意識調查》活動結果顯示,受訪者的工作胸卡保管、個人及公司物品保管、出差物理環境安全、辦公桌面安全、打印機安全、尾隨、口令/密碼設置、敏感數據保護、數據備份、密級資料處理、電腦桌面安全等相關安全意識相對較差。
(2)信息安全管理無章可循、有章不循現象普遍供應鏈信息安全工作缺乏統一的依據和準則,節點企業的安全制度互相間存在內容交叉甚至矛盾,邊界定義不明確,安全職責模糊不清,部門責任和崗位責任制得不到真正落實,執行監督機制薄弱。許多企業對移動存儲設備的使用無嚴格規定,員工可以隨意使用移動存儲設備對文件進行存儲備份,企業信息逐步成為個人資產,隨著人員流動而廣泛傳播。員工工作時間上網暢通無阻,無限制地使用QQ、MSN等傳送、接收文件,容易導致機密泄露和病毒、木馬、黑客的攻擊。掌握大量機密信息的特權員工,例如數據庫管理員、網絡管理員、營銷主管和技術研發人員容易將掌握的機密信息出售給企業的競爭對手。
(3)缺乏信息安全技術與管理人才信息化建設中存在重硬件,輕軟件和管理的現象,對信息人才的培養與引進關注不夠。為了節約人力成本,往往一個信息安全管理員既要負責系統的配置,又要負責系統安全管理,管理權限過于集中,一旦出現管理員的權限失控或離職等情況,極易導致重要信息泄露。
(4)缺乏統一的信息安全戰略規劃和防范機制許多企業的信息安全措施隨意性很強,缺少嚴格的科學論證,采取的是“貼膏藥”式的安全策略,從而引起軟硬件安全設備(系統)間防護功能的重疊和弱化,導致管理難度加大,重復投資現象普遍[6]。有些企業經常出現“先業務,后安全”的現象[7],安全管理嚴重滯后于業務的發展。安全事件發生后才去解決,信息安全人員變成“救火員”,安全建設經常是“亡羊補牢”。
(5)供應鏈企業之間信息的共享與交流存在安全問題供應鏈各節點企業在合作過程中一再強調依靠信息共享實現雙贏,但又都是獨立的利益個體,一旦企業之間發生利益沖突,則容易出現的主要問題有:①合作伙伴的逆向選擇風險[8]。由于信息不對稱,各節點企業形成的“委托—”關系往往導致了一種逆向選擇的風險。委托方往往比方處于更不利的位置,企業往往通過阻礙信息共享,增加供應鏈中信息的不對稱,從合作伙伴那里獲得更大利益。②供應鏈節點企業的敗德行為。當前我國企業與供應鏈(網絡信息犯罪)相關法律法規不健全的法制環境下,節點企業會利用信息優勢而采取一些違背供應鏈整體利益或者其它成員企業利益的措施。企業會主動或有意將供應鏈內共享的信息泄露給沒用參與共享的企業來獲得額外利益。企業成員間還存在欺詐行為,如不法企業利用身份欺騙,以某企業成員的名義,欺騙其他企業成員[9]。諸如此類敗德行為如不加控制會降低供應鏈的服務水準,導致供應鏈其余節點企業、顧客的不滿和利益流失。
3供應鏈信息安全體系框架
供應鏈信息安全系統中的各個安全組件或要素只有整合成為一個整體協同作用時,才能有效保證整體安全管控的目標得以實現。然而,對于我國大多數供應鏈企業說,信息安全存在上述諸多問題,主要原因是在信息安全建設之初,沒有根據供應鏈整體業務發展的需要確立合理的信息安全需求,導致供應鏈信息安全架構不合理。供應鏈信息安全框架旨在為供應鏈及其節點企業提供一個全面的、自上而下的、結合了國際國內相關安全標準的安全模172型[1]。供應鏈信息安全框架由企業信息安全治理、信息安全管理、基礎安全服務和架構、第三方信息安全服務與認證機構和供應鏈信息安全技術標準體系五個模塊構成。安全治理作為架構的核心內容,是安全管理模塊的服務對象,同時,它們也是信息安全策略制定的基礎和依據,還是基礎安全服務和架構模塊中的各個子系統提供選擇和建設的依據。基礎安全服務和架構模塊是信息安全建設技術需求和功能的實現者,是信息安全建設的重要支柱。中間的安全管理模塊則通過一系列控制措施,確保基礎安全服務功能的實現,最終實現安全治理的要求,滿足供應鏈系統的信息安全需求。供應鏈信息技術標準體系為供應鏈和第三方信息安全服務與認證機構提供了標準保障和依據,有利于形成健康法制的第三方信息安全服務市場環境。第三方信息安全服務與認證機構可彌補供應鏈企業信息安全技術和經驗的不足,提供安全托管及信息安全認證服務。
4供應鏈信息安全體系框架的應用
供應鏈信息安全框架參考了眾多企業所積累的經驗,吸取了供應鏈信息安全領域的最新理論研究成果。在具體運用中可結合信息安全相關方法論、模型及標準,從企業需求出發,參照供應鏈信息安全管理框架,通過評估和風險分析等方法,定義供應鏈及其節點企業安全需求,再根據安全需求定義信息安全建設的內容和方向,如圖2所示。圖2供應鏈信息安全體系框架應用。
5結論
關鍵詞:電信企業;信息安全;風險防控;管理體系;建設;研究
一、電信企業信息管理的現狀與作用
(一)電信企業信息管理體系的現狀
隨著社會的發展,無論是個人還是企業,都越來越離不開科學技術。這也導致科技所引發的信息安全管理體系的問題出現。1、針對信息安全管理體系的建設沒有創建出專門的管理機構由于在信息管理方面,企業沒有一個系統的較為權威的管理部門及相關組織,其管理權限分散在建設、運維、系統支撐、市場等部門,在很大程度上致使企業信息管理中的相關法規得不到正常有效的運行。2、未能充分的考慮企業相關管理部門與信息安全管理體系的建設完善由于電信企業的特殊性,在具體的信息安全建設管理中,信息體系建設和信息安全管理的工作不夠協調,使得企業在信息安全管理的相關工作上沒法進行積極主動實施,導致了企業信息安全管理體系建設工作的沒能與相關體系升級換代同步進行。3、企業信息管理建設滯后對于相關部門而言,信息安全管理常常局限于使用比較局部的安全產品進行保障,這樣就容易形成被動的使用相關辦法來應對信息安全的漏洞風險,導致此類方法嚴重缺乏科學性,而且由于使用范圍的局限,從而也不完全能夠抵御安全問題給企業所帶來的運營風險。
(二)企業信息安全管理的作用
信息安全管理體系的建設是對企業來說非常重要,尤其是電信企業,通過信息安全管理體系的建設,不僅有利于提高相關部門的工作人員的信息安全意識,而且還能夠加強對信息安全的管理組織的規范管理,通過充分有效的安全信息維護,能夠幫助企業在信息管理受到嚴重威脅時可以及時消除風險,從而維護國家、企業、廣大用戶的切身利益,確保電信企業在國家信息建安全戰略中的中流砥柱作用。
二、電信企業信息管理建設的有效方法
(一)制定有效的信息管理計劃
在企業管理中,有效的信息安全管理,是企業發展的前提;信息管理建設需要有效的策劃:1、教育培訓在企業管理中,做好教育培訓工作是非常重要的,通過相關培訓,不但能夠提高相關人員的安全信息管理意識,強化相關人員實際操作能力,而且還可以為信息管理體系吸引大量的相關人才。2、制定信息安全管理計劃制定管理的相關計劃是企業發展中的關鍵環節,所以,為了企業的可持續發展,相關部門需要制定信息管理體系建設的標準,擬定相關計劃。
(二)電信企業信息管理建設的范圍
對于一個企業來說,確定信息管理體系的范圍是非常重要的,其需要相關部門人員根據實際情況來進行重點有效的管理,這個管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個別信息安全管理范圍,通過不同的部門可對管理組織進行劃分,并在一定的程度上進行不同力度的管理。就電信企業而言,主要涉及企業信息管理和用戶信息管理,其安全體系建設貫穿在企業運行的全過程。
(三)建立企業信息管理框架
對一個企業而言,企業的信息管理必須建立起一個嚴格的管理模式。具體步驟如下:1、信息安全管理體制的計劃在規劃信息安全管理體系時,首先的一個步驟就是對企業的信息安全管理有一個明確的計劃。這樣一來不僅能夠對后續工作做了一個提前的準備,有利于建立管理機構,而且還能夠對管理的責任做出明確的規定,能夠更好的確立管理目標,評估管理風險。2、企業信息安全管理的實施有了一定的企業信息安全管理體系的計劃,接下來的一個重要步驟就是計劃的實施過程,過程主要有信息安全管理方法應用和相關措施落實等。3、企業信息安全管理體制的檢查這個階段的工作開展要做好充分的準備,因為這一階段是整個計劃的關鍵階段,主要通過審計、自我評估或借助第三方審核等方法來對計劃實施的效果進行審查。
三、結束語
綜上所述,“我國電信運營企業的信息安全風險無處不在,安全形勢日益嚴峻,迫切需要系統、科學、有效的信息安全風險管理體系理論指導管理工作實踐。”通過本文,我們了解到我國電信企業的信息安全管理體系方面的現狀以及信息安全管理的重要性,通過相關部門的共同努力,切實提高信息安全管理水平,維護好國家安全和公共利益安全,為建設信息化強國做出應有的貢獻。
參考文獻:
[1]鄭敏.關于信息安全管理體系建設的研究[J].計算機光盤軟件與應用,2014
[2]曾劍秋,程廣煥,楊萌柯.電信運營企業信息安全風險管理體系研究[J].科技管理研究,2016
實驗目的:了解企業信息化的一般過程。
掌握企業信息化中企業領導的管理工作。
掌握企業信息化中一般員工的工作。
實驗情況及實驗結果:1、上網查找一個企業信息化的成功案例,思考一下問題:
(1) 該企業為何進行信息化的建設?
答:中國人民財產保險股份有限公司就是一個成功的信息化的企業.
九十年代,隨著網絡等信息技術的發展,公司的信息技術建設也邁上了新的臺階。由于公司機構眾多,各地業務差異較大,信息系統建設多是各自為政,全盤的考慮與規劃存在不足。于是于XX年,公司與ibm攜手制定了中國人保信息技術發展五年規劃,這是公司戰略發展的重要組成部分。規劃的制定結合了公司當時的經營、管理情況,并與總公司、分公司各層級管理、技術人員充分溝通、交流,吸收了他們很多的建議、想法,同時參考了國際上許多金融企業成功案例。
(2) 該企業的信息化過程是怎樣的?
答: 信息技術五年規劃制定以后,信息技術部便以此為參照,目標是建設全險種、大集中、共平臺、寬網絡、同標準的基本體系架構。
信息化整體思路:
1、數據模型標準化,應用平臺統一化;
2、業務數據逐步集中存儲,業務系統逐步集中處理;
3、分析產生的數據,為業務、管理和決策服務;
4、加強網絡和信息安全建設,提供多渠道的客戶訪問服務。
(3)信息化給企業帶來了什么效益?
答: 回顧幾年以來公司信息化建設歷程,已基本建成全險種、大集中、共平臺、寬網絡、同標準的基本體系架構,并在數據的分析處理方面作了大量工作,成果斐然。信息化建設的思路是科學合理地制定戰略發展規劃,并建立了標準化體系,搭建了統一的應用平臺,然后將數據和業務處理逐步集中,在此基礎上,進行數據的分析處理,為公司業務經營和管理決策服務。與此同時,進行網絡和信息安全建設,為信息化之路提供更好的條件和保障。指導思想的科學合理性與信息化建設者們的苦干實干相結合,公司的信息化建設結出了累累碩果,得到廣泛好評。公司開發的“新一代綜合業務處理系統”于XX年9月提名參加了chp ( computer-world honor program,計算機世界榮譽組織)“計算機世界榮譽獎”的評選,此獎項評選由idg集團組織,全球上百家it公司總裁作為評委,是當今世界信息技術領域獎項之一,有“it奧斯卡”之稱。XX年4月,該系統已經獲得本年度“計算機世界榮譽獎”21世紀貢獻大獎提名獎。這是今年全球一家保險企業獲獎,也是繼招商銀行去年獲獎后,我國第二家以及本年度一家在該獎項的“金融、保險及地產領域”獲此殊榮的國內企業。
【關鍵詞】電力企業;網絡信息安全;管理
新時代是網絡信息時代,全世界信息網絡系統都在迅猛發展中。電力企業作為各行業中重中之重的國家基礎行業,整個行業都對網絡信息系統有著極大的依賴性,網絡信息系統也以它快速、全面、及時的優點給電力企業帶來了極大的經濟效益。但是網絡信息系統所帶來的不僅是經濟效益,同樣還有信息泄露的巨大風險,一旦發生信息泄露或信息數據遭篡改,將為國家造成不可估計的經濟損失。
近年來全球范圍內計算機犯罪活動猖獗,不斷發生黑客入侵、電腦病毒肆虐事件,給電力企業敲響了警鐘,網絡安全防范刻不容緩。很多受害者的網絡硬件及軟件技術都處于時展的主流,然而依然發生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網絡信息安全水平的,除了安裝網絡安全產品,同樣重要的還有網絡信息的安全管理措施。所以,各電力企業都必須認真面對和研究當前網絡信息安全問題,及時采取合理有效的防范措施。
1、我國電力企業網絡信息安全現狀
1.1電力企業信息化的優勢
進入二十一世紀以來,隨著網絡技術的迅速發展,我國電力企業的信息化也有著很大的進步:電力行業信息化設施較其他行業更完善,各電力企業主要崗位使用計算機工作的比率已經基本達到100%,而且90%以上都建立起了覆蓋本部機關工作的局域網;電力生產、調度自動化系統廣泛應用,已經形成了較成熟的管理模式。其中發電生產自動化監控系統、電力調度SCADA系統等,大大提高了生產過程和電力調度的自動化水平;電力營銷管理系統在全國各大電力企業廣泛應用,各地(市)級電力企業都已實現業務受理計算機化。同時各地也在大力建設客戶服務中心,已經有一批服務中心先行初步建立起來;國家電網公司及其下各級子公司開發應用了電力生產、設備安檢、電力負荷及營銷管理的企業管理信息系統,各大電力企業也在積極規劃企業信息化發展藍圖,大力進行企業信息化建設,推動實現電力工業現代化進程。
1.2當前存在的問題
上述信息化優勢證明我國電力企業近年來關于網絡信息化建設取得了一些成果,給行業信息化建設打下了良好的基礎,但在網絡信息安全管理方面仍普遍存在較多問題。
1.2.1信息化機構建設不健全。電力企業很少為信息管理部門專門設置機構,因而缺乏應有的規范的崗位及建制。大多信息部門附屬在技術部、科技部或總經理工作部門下,甚至僅設置一個專責人員負責。信息化管理是一項系統性的工程,沒有專門的部門負責是不能滿足現代企業信息化安全的需求的。
1.2.2企業管理阻礙信息化發展。有些電力企業管理辦法革新緩慢,大多采用較落后的、非現代信息化企業的管理模式。這樣的企業即便引入最完善的信息管理系統、最先進的信息化設備,也只能受落后的企業管理模式所制約,無法發揮其應有的作用。
1.2.3網絡結構不合理。電力企業大多將公司網絡分為外網和內網,兩種網絡之間實行物理隔離措施,但很多企業的網絡交換機是一臺二層交換機,決定了內網和外網用戶在網絡中地位是平等的,導致安全問題只能靠完善管理系統去解決,給系統編寫帶來很多不必要的困難。
1.2.4身份認證缺陷。電力企業一般只建立內部使用的信息系統,而企業內部不同管理部門、不同層次員工有不同等級的授權,根據授權等級不同決定各部門和員工訪問的數據和信息不同。這類授權是以身份認證為基礎的信息訪問控制,但在當前的企業身份認證系統中大多存在缺陷和漏洞,給信息安全留下隱患。
1.2.5軟件系統安全風險較大。軟件系統安全風險指兩方面,一是編寫的各種應用系統可能有漏洞造成安全風險,二是操作系統本身風險,隨著近期微軟停止對windows XP系統的服務支持,大量使用windows XP系統的信息管理軟件都將得不到系統漏洞的修補,這無疑會給信息安全帶來極大風險。
1.2.6管理人員意識不足。很多電力企業員工網絡安全意識參差不齊,一方面是時代的迅速發展導致較年輕的管理人員安全意識較高,而對網絡接觸較少的中老年員工網絡安全意識較為缺乏;另一方面也有電力企業管理制度不夠完善、忽視對員工進行及時培訓的原因。在這種人員背景下,如果管理人員配備不當、信息管理系統設置不合理都會給企業信息埋下安全隱患。
2、電力企業網絡信息安全管理措施
要建立完善合理的網絡信息安全管理體系,需要各企業認清企業現狀,根據實際進行統一規劃,分部建設,保證建設內容能科學有效的運行。
2.1加強信息安全教育培訓
不論計算機程序有多么先進多么完善,如果操作管理人員素質和意識不足,那也不能保證企業信息化的安全。因此,實現企業網絡信息安全管理的根本在人,可以根據員工職責分層次進行培訓,一方面提高安全管理員工的專業知識水平及安全管理意識,另一方面加強對一線工作人員的安全意識教育,將網絡信息安全變為企業文化和精神支柱的一部分。
2.2完善管理制度建設
電力企業要把網絡信息安全管理視為一個系統工程來考慮,必須在企業內部建立起合理而完善的管理制度,比如:加強網絡日志管理;對安全審計數據嚴格管理;在企業網絡上安裝病毒防護軟件;規定不能隨意在內網主機上下載互聯網數據、不能在內網計算機上隨意使用來歷不明的移動存儲設備等。
2.3不斷更新完善信息安全管理系統
大力推進信息安全新技術的探索和應用,建立信息安全防護體系,可以圍繞數據庫安全、數據備份和恢復、網絡服務完全、病毒防護系統的應用、數據加密技術及數據傳輸安全等方面建立一個多方面多層次聯合的技術安全體系,從而提高信息系統安全防護能力,確保企業信息安全可靠。
3、總結
電力企業信息化是不可避免的發展趨勢,因此要實現企業的可持續發展就必須做好企業信息網絡安全的管理,電力企業要在不斷的探索實踐中,摸索新時期網絡信息安全管理措施,不斷完善和健全網絡信息安全建設。
參考文獻
[1]王雋.電力企業網絡信息安全防護體系的建立[J].信息與電腦(理論版),2012,07:22-23.
南京翔晟信息技術有限公司是一家以商用密碼產品研發和市場推廣為一體的綜合性公司,先后與南京大學和南京信息工程大學進行了長期緊密合作,以公司為基礎相應成立了軟件技術研發合作中心以及產學研培訓基地,培養了許多軟件實用性人才。
南京翔晟信息技術有限公司所研發的商用密碼產品——基于PKI的電子簽章具有獨立自主的知識產權,完全符合《中華人民共和國電子簽名法》等各項法律條文及國家商用密碼管理局的各項規定,是在國務院頒布的“中華人民共和國計算機信息系統安全保護條例”和公安部頒布的“計算機信息網絡安全保護管理辦法”的框架下特制開發的。
南京翔晟的產品已在各互聯網領域得到了廣泛的運用,目前,公司針對不同行業和領域的特殊性,把產品進行了細化,已有針對性地為廣大消費者提出了完美的技術解決方案。
自2009年公司成立以來,公司已成為“江蘇省軟件”企業,其電子簽章產品已在全國近20多個省100多個地級以上城市的電子招投標平臺上投入使用,累積了約20多萬的終端客戶量,并獲得廣泛好評。
南京翔晟相繼獲得了《公安部銷售許可證書》、《國家保密局檢測證書》、《商用密碼證書》、《軟件產品證書》、《軟件企業證書》、《軍用信息安全產品資質》、《技術貿易證書》等十多個資質,并取得了十幾項專利及著作權。雄厚的軟件技術研發實力和卓越周到的服務水平,為我公司的商用密碼產品在國內市場的推廣和銷售打下了堅實的基礎。
南京翔晟信息技術有限公司擁有一支勇于創新的研發隊伍,憑借著自身雄厚的技術實力、領先的產品性能以及超前的服務意識先后與國內各大行業中的知名軟件平臺開發商進行緊密合作,先后在各大行業中成功地為客戶建立了可靠、安全的電子簽章平臺系統,不僅節省了客戶的辦公費用,并且為客戶的信息安全建設保駕護航,進一步加速推動了客戶的整個信息化建設,提高了整體信息辦公系統的效率。
翔晟信息電子簽章系統的應用不僅推動電子政務、企業信息化系統信息的安全建設進程,而且也在國內的電子商務網絡信息安全建設領域發揮著領先、卓越的產品性能。
除了在全國電子招投標行業廣泛運用外,還在全國多家甲級醫院的電子病歷系統、電子文檔管理系統,以及物流、軍隊、政府、企業系統辦公網中得到了實際應用。
同時,南京翔晟信息技術有限公司自主研發的硬件產品SSL數據安全網關和EVS電子驗簽服務器也相應在國家政府機關、軍隊、網上證券、網上銀行、電子政務、電子商務、企業遠程辦公等系統中也得到了廣泛的采用,并為其互聯網應用市場提供了高效、便捷、可靠的安全產品。
南京翔晟信息技術有限公司在吸取行業經驗的基礎上,本著“高效、分享、務實、創新”的精神,勇創未來,志攀高峰,以其雄厚的技術實力,愿與廣大消費者分享信息技術的成果,更愿與所有的產品用戶共同探討,共同挖掘,將翔晟電子簽章產品打造成互聯網信息安全產品的運營專家,讓翔晟電子簽章產品更好地為社會服務。
關鍵詞:發電企業 信息化 企業管理
隨著信息化建設的不斷加強,信息化應用已深入發電企業生產經營管理的各項業務處理中,為發電企業管理工作提供不可或缺的信息化支撐平臺。
1.加強信息化制度建設
制度建設是提升信息化建設的根基。發電企業要加強信息化制度建設,首先要明確目標,要明確通過管理制度建設,規范信息化建設、運維、安全控制、評價、考核等全過程管理,管控信息化業務流程及其運維,保障信息化運營同發電企業整體戰略目標一致,從而為企業發展提供強有力的智力支撐和技術保障,提升企業內涵式發展動力。
對于發電企業而言,完善的信息化制度包括信息網絡運維管理制度和信息系統運維管理制度,通過制度對信息化所涉各部門、人員的權限和職責、網絡接入、信息網絡、應用系統安全、網絡設備運維、資產管理等方面進行嚴格詳細的規范,以制度的規范化實現信息工作標準的提升。其次,信息系統業務關鍵用戶制度是發電企業信息化管理提升的關鍵,可實現信息化和業務的高度融合,促進信息系統應用效益的增長,能夠有效提升企業信息化系統應用管理水平。
2.加強信息安全建設
隨著信息應用日益普及深入,信息安全的形勢也日益嚴峻,信息安全對企業和個人造成的風險及危害日益加大。因此發電企業亟需重視信息系統安全,采取有效措施防止信息泄漏,做好重要數據保密、備份,保證企業信息安全。
在實際工作中,第一,要結合公安部信息安全等級保護、電力行業的合規性要求,基于ISMS(信息安全管理體系)和ISO27001體系的信息安全的方法體系,全面評估信息網絡安全現狀,找出突出問題和薄弱環節,有針對性地采取防范對策和改進措施。
第二,針對公司信息網絡安全風險,應通過信息項目技術改造,完善網絡安全防護功能。完善防火墻安全策略配置,制定安全穩定的服務器隔離機制,杜絕服務器網絡被非法侵入。加強內網安全管理,采取網絡接入終端管理系統,進行外部設備準入控制,配置及時可靠的預警系統,制定嚴謹的操作管理流程。提供有效的故障分析系統,提高工作效率,迅速處理信息故障。
第三,針對信息應用和數據安全,要重點防止重要信息的丟失和泄密。在服務器虛擬化實現應用系統集中管理的同時,要繼續提高鏈路可靠性,提供有效備用和備份手段,提高安全性。要提高存儲系統的利用率,加強存儲系統的備份機制,保證數據安全,避免數據丟失。
第四,針對企業計算機用戶信息安全管理,要采取技術管理和行政管理并重的措施。在采用技術管理手段的同時,加強信息安全風險宣傳,通過典型案例和網絡安全漏洞介紹,提高個人信息安全防范意識。要加強企業信息安全管理辦法的宣貫和執行,強調計算機安全、口令設置、數據備份的重要性,加強督促檢查,確保管理效果。
3.加強信息系統運維管理
推動企業信息化管理水平的不斷提升,需要根據企業實際,制定切實可行的運維機制與目標。例如,根據企業信息系統部署特點,結合企業IT組織建設規劃,規劃運維管理機制,力爭通過運維機制的建立實現保障系統高可用性,保持運維目標同企業戰略目標相一致,支持業務創新,為企業內涵式發展帶來活力。
第一,應建立信息系統技術支持綜合管理平臺。要建立服務于信息系統運維體系的管理平臺,實現問題提交、處理、反饋流轉,具備操作指導功能。基層信息系統在使用中,由于業務變動、系統升級更新、經驗不足等原因,操作人員常常會產生使用疑惑,缺乏實時有效指導。對前臺操作開展即時幫助指導,減少操作錯誤產生的錯誤、數據故障,無疑對減少運維壓力、提高信息準確性產生深遠的影響。
第二,應建立企業系統問題管理中心,服務于運行維護的系統平臺,應用中發現的問題都通過平臺按流程進行上傳和反饋,并錄入數據庫以便查詢,從而實現運維工作的系統化、標準化、規范化和協同化。運維處理平臺要具有問題提出、問題答復、問題查詢等功能,并做到簡捷易用,以方便應用層不同素質人員的使用,實現知識庫共享。
第三,要加強運維管理現代化建設,實施科學化、精細化管理。要深化運維崗責建設,建立職責分明,工作有序的運維崗位責任體系和績效考核落實體系。梳理各項工作職能,細化、量化運維工作內容和指標。合理進行崗位設置,將工作職能與運維工作人員對應,可實行一人多崗,一崗多人,要建立考評機制,對運維工作目標和工作過程進行考核和評價,并進行相應的獎勵和處罰。
第四,要建立完善的制度保障體系。在運維系統建設過程中,要建立一整套科學的管理制度,如運維管理辦法、應急預案、考核辦法等制度,以保障運維體系切實發揮其實用性、高效性。完善的運維制度,是運維體系穩定運行的根本保證,實現運維管理人員按章有序地進行維護,減少運維中的不確定因素,更有效地提高工作質量和水平。通過嚴密的激勵、考核機制,形成對信息系統操作人員、運維管理人員日常工作的科學評價,既調動其積極性,又提升工作效率,從而促進信息化建設良性發展。
4.加強信息人才技術培訓
企業各級管理人員也需要學習信息相關知識,適應信息新技術應用,業務系統上線及升級帶來的變化。
第一,要積極開展信息化培訓工作。企業要積極開展信息安全培訓和服務器虛擬化培訓工作,例如某基層發電企業就通過組織FAM系統切換和上線工作中各模塊、各專業的應用業務培訓,加強信息化培訓。同時可以通過定期舉辦計算機知識培訓、技術比武等活動,激勵職工學習技術的熱情。通過對取得優異成績的給予物質獎勵、聘為“技術能手”等措施,逐步提高運維技術人員的事業心和責任心,在運維崗位上實現自我價值。
第二,要加強信息技術人才培養。作為信息中心工作人員,必須不斷跟蹤學習新技術新知識,要根據企業服務器虛擬化技術、備份升級、安全防護技術等新應用,采用自學和外出培訓相結合的方式加強學習,適應運維工作需要。要加強應用系統管理流程和具體業務管理工作對照學習,全面掌握信息系統功能特點,做好系統運維和應用深化工作。
信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制;應用平臺則需要有針對各個用戶的認證以及訪問控制,這就需要保證每一個數據的傳輸的完整性和保密性,當然也需要保證應用系統的可靠性和可用性。一般電力企業主要采用的措施有:
1.1信息安全等級保護
信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定,及時在當地公安機關進行備案,然后根據對應等級要求,組織好評測,然后開展針對性的防護,從而提供全面的保障。
1.2網絡分區和隔離
運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域,通過在不同區域實施特定的安全策略實現對區域的防護,保證網絡及基礎設置穩定正常,保障業務信息安全。
1.3終端安全防護
需要部署(實施)防病毒系統、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒;可以對互聯網訪問行為監管,為網絡的安全防護管理提供安全保障;可以自動下發操作系統補丁,提高終端的安全性。
2.構建信息安全防護體系
電力企業應充分利用已經成熟的信息安全理論成果,在此基礎上在設計出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系,從而保障信息安全。
2.1建立科學合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規范和多方面的細則,所涉及的基本要素包括信息管理和信息技術這兩方面,其覆蓋了信息系統的網絡層面、物理層面、系統層面以及應用層面這四大層面。
2.2建設先進可靠的信息安全技術防護體系
結合電力企業的特點,在企業內部形成分區、分域、分級、分層的網絡環境,然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃,解決系統之間、系統內部網段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護的業務系統分級防護,避免安全要求低的業務系統的威脅影響到安全要求高的業務系統,實現全方位的技術安全防護。同時,還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數據庫安全防護、終端安全管理和電子文檔安全防護等細化的措施,形成覆蓋企業全領域的技術防護體系。
2.3設置責權統一的信息安全組織體系
在企業內部設置網絡與信息安全領導機構和工作機構,按照“誰主管誰負責,誰運營誰負責”原則,實行統一領導、分級管理。信息安全領導機構由決策層組成,工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門,包含安全管理員、系統管理員、網絡管理員和應用管理員,并分配相關安全責任,使信息安全在組織內得以有效管理。
2.4構建全面完善的信息安全管理體系
對于電力企業的信息安全防范來說,單純的使用技術手段是遠遠不夠的,只有配合管理才能提供有效運營的保障。
2.4.1用制度保證信息安全
企業要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件,指明信息安全的發展方向,為信息安全提供管理指導和支持;安全管理辦法是對信息安全各方面內容進行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎上描述各控制流程;安全規范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理,明確員工信息安全責任和義務,避免人為風險。
2.4.3建設時就考慮信息安全
在網絡和應用系統建設時,就從生命周期的各階段統籌考慮信息安全,遵照信息安全和信息化建設“三同步”原則,即“同步規劃、同步建設、同步投入運行”。
2.4.4實施信息安全運行保障
主要是以資產管理為基礎,風險管理為核心,事件管理為主線,輔以有效的管理、監視與響應功能,構建動態的可信安全運行保障。同時,還需要不斷完善應急預案,做好預案演練,可以對信息安全事件進行及時的應急響應和處置。
3.總結
關鍵詞:供電公司 網絡信息 安全建設 管理
1.電力系統的安全指標
電力系統為各產業的發展提供電力資源,建立信息數據網有利于保障電力控制系統的安全。信息系統主要負責數據信息的傳輸,同時在運行效率、管理控制方面發揮著不可忽視的作用。信息系統的安全不僅局限于信息的保護,還包括對信息系統的保護、檢測和恢復等[1]。為保證信息系統的穩定傳輸,電力企業應制定相應的安全指標。
1.1使用指標
系統中存儲的信息必須具有使用價值,否則就沒有必要存儲進信息系統。因此,電力企業應確定采取安全保護措施的信息的可用性。如果用戶有需要,系統應為其提供相應的訪問服務,避免因服務功能不及時等問題造成系統信息的異常存儲、傳輸和處理,給系統功能的正常發揮帶來影響。
1.2保密指標
電力企業信息系統所用的數據信息必須進行保密,只允許授權使用的人員查看,并不得透露給其他人員。目前,多數電力企業采用“授權、認證”的方式進行信息的保密,只允許授權使用的用戶使用信息系統。執行保密指標,必須確保信息不被損壞、篡改和竊取。
1.3存儲指標
實現網絡化控制是地理企業的改革創新,在網絡系統的運行期間必須保證信息存儲的完整性。首先要確定紙質、電子檔等信息存儲的形式,然后再根據實際需要進行合適的存儲指標選擇,保證使每項信息都能得到有效存儲和維護。
1.4審核指標
對數據信息進行定期審核有助于信息的安全管理。電力企業管理人員應在的科學指導下進行審核工作,給管理人員提供正確的決策和指示。此外,進行信息審核能夠及時發現系統中存在的問題,提醒網絡控制人員對異常情況進行及時處理,防止給信息系統的安全運行帶來安全隱患。
1.5人員指標
人是電力網絡信息系統中最關鍵的因素,系統最終需要技術人員的操作控制,如果專業人員技能不足,會給信息安全系統帶來很大風險。如:操作人員隨意安裝操作系統、隨意更改計算機代碼、隨意更新升級各類軟件等,都會給網絡信息系統帶來安全隱患,破壞網絡信息傳輸的正常進行。
2.網絡信息安全防護對策
對于電力企業來說,電力資源信息化涉及的面廣,工程技術比較復雜,必須從總體考慮網絡資源的安全問題。為規避風險,使網絡系統的運行更加安全、高效,必須保證網絡的安全隔離。具體可采用以下技術解決網絡資源的安全:
2.1虛擬網技術
網絡管理者掌握虛擬網技術可以營造網絡運行的穩定環境,避免其受到外界因素的干擾。。在公共數據網絡上,采用訪問控制和數據加密技術,可以將兩個或多個可信內部網進行互聯[2]。
2.2數據庫技術
為提前防范電力網信息出現被盜、丟失等異常,運用數據庫技術通過數據備份的方式保存原資料,可以保證信息的安全。電力企業應創建數據備份中心,選擇高品質的數據恢復技術,如遇到信息數據受損,可以進行提前修復補充,以保證信息系統的正常運行。
2.3防火墻技術
防火墻屬于訪問控制產品,它能夠隔離開信任網絡和不信任網絡,在內部網絡與外部不安全的網絡之間設置障礙,對外界異常信息進行過濾控制,阻止來自外界的非法訪問。能夠有效的阻止黑客的攻擊,實現對數據流的監控。如防火墻中的強制實糟,能避免企業信息遭受非法攻擊或存取。
2.4病毒防護技術
電力信息網絡系統所遭受的最大病害是病毒,它對各類信息的安全具有較大的破壞力。要解決好這個問題,應通過防毒、殺毒的等方式進行處理,營造穩定的信息系統運行的環境。可以在電力企業的服務器上安裝防病毒軟件,在每臺PC機上安裝防病毒軟件。
2.5安全審核技術
安全審核技術的作用是審核系統上流通的數據信息,及時將在異常的數據信息攔截,避免其給網絡系統造成干擾,有效的保護信息系統的安全[3]。
3.加強安全制度管理
電力企業的網絡安全管理中,技術僅僅是一部分,經營者還應加強管理決策的改革創新,制定出科學的管理規劃和制度。日常管理中,應從以下方面加強管理:
3.1強化安全意識
安全意識涉及到領導者和網絡系統運用管理的每個人。電力企業的經營者應將安全意識放在首位,從安全角度出發,制定現有網絡系統的安全管理策略,避免來自外在的破壞因素干擾或危害網絡系統。企業的員工要不斷的培養自己的安全意識,堅持以安全為原則進行系統操作,把握好每個步驟。
3.2及時進行故障處理
網絡信息系統發生故障在所難免,當出現故障時,應及時、盡快組織技術人員進行處理,盡早解決故障給系統造成的不良影響。
3.3規劃管理制度
網絡完全管理制度的嚴格執行可實現網絡系統的有序操作,讓系統的每個環節都能安全可靠的運行。電力企業應制定網絡系統安全管理的制度,對計算機操作人員進行專業考核、加強設備的管理等,有效預防并避免意外故障的發生。
4.小結
計算機網絡系統在電力企業的運用深刻而廣泛,存在各種各樣的安全威脅。電力企業必須加強安全技術的管理和應用,確保信息系統的安全運行,為企業的安全生產提供有力的保證。
參考文獻:
[1]趙慧巖.對計算機網絡信息安全建設的探究[J].中國電子商務,2010(1):54.
