時間:2024-03-14 11:24:56
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全應急處理預案,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
【關鍵詞】網絡;信息;安全事件;財產安全
前言:網絡與信息安全事件的發生是世界性問題,我國的網絡與信息安全事件發生率一直高居不下,隨著信息化社會的不斷發展,網絡與信息安全事件的頻發,受到了我國各級政府和相關企業的高度關注,而預防與保障此事件發生的方法與手段也愈加關鍵。我國針對此應急事件的處理方法分為分類、預警、響應三步,全面預防與控制網絡與信息安全事件的發生。
一、網絡與信息安全的概述
隨著現代信息社會的發展與進步,網絡為人們的生活、工作、學習等帶來了一定的便捷,由于網絡的開放性、通用性、分散性等原因,很容易發生網絡與信息安全事件。對于網絡與信息安全事件的發生,已經對社會造成嚴重的影響,對此我國頒布的《中華人民共和國突發事件應對法》中有提到:需要建立一定的應急處理方法來應對由自然災害、事故災害、公共衛生災害和社會安全引起的安全事故。對于網絡安全事件的應急處置工作也有了明確的分類,《國家信息化領導小組關于加強信息安全保障工作的意見》中將網絡與信息安全事件歸納為:由網絡和信息系統直接產生對國家、社會、經濟、公眾等方面產生的利益損害事件。
網絡與信息安全事件是世界各國重點關注的問題之一,就我國而言,我國網民數量多達4億多,通過互聯網產生的消費額已經超過6000億元。信息安全問題已經影響到我國社會、經濟、公眾的利益,從過去發生過的網絡與信息安全事件中可以看出,引起信息安全事件的因素多為以經濟利益為目的的安全事件,另一部分是以非經濟利益為目的的安全事件。由于網絡與信息安全事件的發生具有無征兆且擴散十分迅速、傳播范圍廣、對周邊網絡或計算機信息的危害大等特征,建立起完備的網絡與信息安全事件應急處置體系十分必要。
二、建立網絡與信息安全事件的應急處置體系
最初的網絡與計算機信息技術應用范圍較為狹隘,僅限于國家的軍事、管理或社會經濟、產業、技術等方面。目前網絡與計算機信息技術已經涉及到社會中各層面、各行業的領域中,因此,出現的網絡與信息安全事件便成為一個社會性問題。我國對此提出的建議是:由國家宏觀調控指揮、各部門密切配合,建立起能夠針對網絡與信息安全事件的應急處理體系,對影響國家信息安全、社會經濟發展、公眾利益等方面作出一定的防范措施。對于建立的應急處置體系,還需要具有科學性、合理性:以預防為主,不能單純的事后補救;以處置為主,不能放縱危險事件的發生。在各方面的努力下,我國的網絡與信息安全事件的應急處置體系配備相應的法律法規,成為網絡與信息安全事件的一項保障。信息安全是一種新興的安全問題,不同于自然災害、人為災害或直接經濟損失的危險事件,而是一種虛擬信息的泄露,這需要對網絡與信息安全事件重新定位,建立統一的定位標準。我國對網絡與信息安全事件的分類方法為:按照信息安全事件的引發因素、事件表現、影響等將信息安全分類為程序損害事件、網絡攻擊事件、信息破壞事件、信息內容安全事件、設備設施故障事件和信息災害事件等6大類,其中細節劃分為40余種。再按照事件危害等級、預警等級將其劃分為四個事件等級:A級:特大網絡與信息安全事件;B級:重大網絡與信息安全事件;C級網絡與信息安全事件;D級一般網絡與信息安全事件。
對于網絡與信息安全事件的應急處置工作,我國已經將其納入國家突發事件應對體系中。建立的應急預案分為國家、地區、單位的三級應急處置體系,并在此體系中建立具有高度統一、十分便捷、方便協調的組織機構,如遇網絡與信息安全事件,通過綜合分析,判定網絡與信息安全事件的形勢,再制定應急處置預案,經協調指揮相關技術人員落實預案。
在此系統中,地方政府和相關機構對本轄區內的網絡與信息安全事件直接負責,負責的內容包括網絡與信息安全事件的預防、監測、報告和應急處理工作。我國需要建立起網絡與信息安全事件應急處理咨詢機構,為此提供預防和處置技術的咨詢。另外,需要向社會公眾建立起信息通報機制,如報警電話等。由群眾提供網絡與信息安全事件信息,作為緊急事件預警的基礎,根據建立起科學、有序的網絡與信息安全事件的規章制度,全面控制網絡與信息安全事件。
二、網絡與信息安全的應急處置體系內容
(一)預警
預警包括對安全事件監測的預警、預警判定、預警審定、預警、預警響應和最終的預警解除。
預警機制的健全,能夠全面避免安全事件發生后的擴展和對人類財產的損失擴大,為了防止這一問題,可根據上文所提到的事件發生的緊急程度和危害程度分級處理,按照不同級別進行不同預警。
(二)響應
響應的理論基礎是在預警過后產生的事件起因預測、事件結果評估。響應工作是確定響應等級后開啟響應指揮,迅速了解事件動態并進行部署,然后實施處置工作,最后對本次應急事件進行評估。響應也包括四個等級,根據預警等級不同,實施不同的響應等級工作。
結論:綜上所述,網絡與信息安全事件的發生十分迅速、不可預估,并且危害大、擴展性強,我國對此已經作出一系列法律法規的約束,但對于網絡與信息安全事件的發生還需作應急處理,制定相應的應急處理機制,以預防為主,需要培養發現和控制事件的能力,減輕和消除由突發事件所引起的社會危害事件,并且需要在事件發生后第一時間做出總結,以防同樣事件再次發生。
參考文獻:
[1]王瑞剛.網絡與信息安全事件應急響應體系層次結構與聯動研究[J].計算機應用與軟件,2011,09(10):117-119.
為了切實做好學校校園網絡突發事件的防范和應急處理工作,進一步提高我校預防和控制網絡突發事件的能力和水平,減輕或消除突發事件的危害和影響,確保我校校園網絡與信息安全,妥善處理危害網絡與信息安全的突發事件,最大限度地遏制突發事件的影響和有害信息的擴散。結合學校工作實際,制定本預案。
第一章 總則
第一條本預案所稱突發性事件,是指自然因素或者人為活動引發的危害學校校園網網絡設施及信息安全等有關的災害。
第二條本預案的指導思想是湖北師范學院有關計算機網絡及信息安全基本要求。
第三條本預案適用于湖北師范學院內所有個人和辦公用計算機以及各研究所、實驗室(中心)、教學機房、多媒體教室、電子閱覽室等計算機和網絡硬件、軟件,以及學校門戶網站和下屬各部門網站內容發生突發性事件的應急處置。
第四條應急處置工作原則:統一領導、統一指揮、各司其職、整體作戰、發揮優勢、保障安全。
第二章 組織指揮和職責任務
第五條學校成立網絡與信息安全應急處置工作小組,工作小組的主要職責與任務是統一領導全校信息網絡的災害應急工作,在校領導組織指揮下,全面負責學校信息網絡可能出現的各種突發事件處置工作,協調解決災害處置工作中的重大問題等。
第六條現代信息技術中心(以下簡稱“信息中心”)負責日常信息網絡安全事件的具體處理,其中信息中心是信息網絡安全事件處置控制中心,負責服務器端和網絡層面的安全事件處置,并為各部門、院(系)做好部門辦公用機和個人用機的安全處置提供技術指導。
第三章 處置措施和處置程序
第七條處置措施
處置的基本措施分災害發生前與災害發生后兩種情況。
(一)災害發生前,信息中心按照崗位職責的要求,技術中心人員各司其責切實加強日常信息網絡安全工作的檢查、維護,定時升級系統補丁和殺毒軟件,檢查防火墻、IDS(入侵檢測系統)的運行情況,及時消除隱患;
學校各單位切實落實部門網站管理工作職責、安全責任制,特別是對于開辦網上論壇、留言板、聊天室、社區等交互式欄目網站的部門要落實關于信息審核、信息巡查和版主負責制度的情況,要設有防范措施和專人管理;
加強信息網絡安全常識普及,使教職工掌握信息網絡安全常識,并具備一定防范處理突發事件的基本知識。
建立健全災情速報制度,保障突發性災害緊急信息報送渠道暢通。屬于重大災害的,在向工作領導小組報告的同時,還應向黃石市公安局網絡監察部門報告。
(二)災害發生后,立即啟動應急預案,采取應急處置程序,判定災害級別,并立即將災情向工作小組報告,在處置過程中,應及時報告處置工作進展情況,直至處置工作結束。
第八條處置程序
(一)發現情況
現代信息技術中心要嚴格執行值班制度,做好校園網信息系統安全的日常巡查及其日志保存工作,以保障最先發現災害并及時處置此突發性事件。
(二)預案啟動
一旦災害發生,立即啟動應急預案,進入應急預案的處置程序。
(三)應急處置方法
在災害發生時,首先應區分災害發生是否為自然災害與人為破壞兩種情況,根據這兩種情況把應急處置方法分為兩個流程。
流程一:當發生的災害為自然災害時,應根據當時的實際情況,在保障人身安全的前提下,首先保障數據的安全,然后是設備安全。具體方法包括:硬盤的拔出與保存,設備的斷電與拆卸、搬遷等。
流程二:當人為或病毒破壞的災害發生時,具體按以下順序進行:判斷破壞的來源與性質,斷開影響安全與穩定的信息網絡設備,斷開與破壞來源的網絡物理連接,跟蹤并鎖定破壞來源的IP或其它網絡用戶信息,修復被破壞的信息,恢復信息系統。按照災害發生的性質分別采用以下方案:
1、病毒傳播:針對這種現象,要及時斷開傳播源,判斷病毒的性質、采用的端口,然后關閉相應的端口,在網上公布病毒攻擊信息以及防御方法。
2、入侵:對于網絡入侵,首先要判斷入侵的來源,區分外網與內網。入侵來自外網的,定位入侵的IP地址,及時關閉入侵的端口,限制入侵地IP地址的訪問,在無法制止的情況下可以采用斷開網絡連接的方法。入侵來自內網的,查清入侵來源,如IP地址、上網帳號等信息,同時斷開對應的交換機端口。然后針對入侵方法建設或更新入侵檢測設備。
3、信息被篡改:這種情況,要求一經發現馬上斷開相應的信息上網鏈接,并盡快恢復。
4、網絡故障:一旦發現,可根據相應工作流程盡快排除。
5、其它沒有列出的不確定因素造成的災害,可根據總的安全原則,結合具體的情況,做出相應的處理。不能處理的可以請示相關的專業人員。
(四)情況報告
災害發生時,一方面按照應急處置方法進行處置,同時需要判定災害的級別,首先向學校網絡與信息安全應急處置工作小組匯報。在重大災害發生時,可以同時向市公安局網絡監察部門匯報。中、小型級別的災害,可以只向學校的網絡與信息安全應急處置工作小組匯報,并及時報告處置工作進展情況,直至處置工作結束。情況報告內容包括:災害發生的時間、地點,災害的級別,災害造成的后果,應急處置的過程、結果,災害結束的時間,以后如何防范類似災害發生的建議與方案等。
(五)預警
災害發生時,可根據災害的危害程度適當地預警,特別是一些在其它地方已經出現,或在安全相關網站了預警而學校信息網絡還沒有出現相應的災害,除了在技術上進行防范以外,還應當向網絡信息用戶預警,直至災害警報解除。
(六)預案終止
經專家組鑒定,災害險情或災情已消除,或者得到有效控制后,由學校的網絡與信息安全應急處置工作小組宣布險情或災情應急期結束,并予以公告,同時預案終止。
第四章 保障措施
災害應急防治是一項長期的、持續的、跟蹤式的、深層次的和各階段相互聯系的工作,是有組織的科學與社會行為,必須做好應急保障工作。
第九條人員保障
重視人員的建設與保障,確保在災害發生前的人員值班,災害處置過程和災后重建中的人員在崗與戰斗力。
第十條技術保障
重視網絡信息技術的建設和升級換代,在災害發生前確保網絡信息系統的強勁與安全,災害處置過程中和災后重建中的相關技術支撐。
第十一條物資保障
建立應急物資儲備制度,保證應急搶險救災隊伍技術裝備的及時更新,以確保災害應急工作的順利進行。
第十二條訓練和演練
加強全校網絡信息用戶的防災、減災知識的宣傳普及,增強這些用戶的防災意識和自救互救能力。有針對性地開展應急搶險救災演練,確保發災后應急救助手段及時到位和有效。
第五章 附則
【摘 要】隨著國稅系統信息化程度越來越高,一旦爆發信息安全事故將對國稅工作造成嚴重的影響。在進行了一系列桌面演練、模擬演練的基礎上,選擇適當的時機進行實戰演練,可以進一步檢驗和完善制定的應急預案,亦可以加快信息安全響應機制。本文結合工作實際,論述地市級稅務機關,信息安全實戰演練的前提條件與實現細節。
【關鍵詞】信息安全,實戰演練,場景設計
一、信息安全實戰演練的前提條件
近幾年,江蘇省地市級國稅機關在省局領導下,陸續開展了信息安全方面的桌面演練、模擬演練,取得了良好的效果。本文根據工作實際,結合以往的演練經驗,設計出一套可以進行信息安全實戰演練的方案,實現了非蠕蟲性質的惡意代碼攻擊造成大范圍計算機不能正常使用,既達到了信息安全事件的破壞性,又不影響全局的正常使用,既有危害性,又具有可控性。為了將信息安全實戰演練造成的風險降到最低,需考慮如下因素:(1)實戰演練應獲取相關領導的支持,在主管領導及上級稅務機關批準后,方可進行信息安全的實戰演練。應有計劃、平穩進行,不能貿然進行實戰演練。(2)進行實戰演練前,必須將可能發生的情況考慮充分,并做好相應的應急處理措施。(3)實戰演練的時間安排:應考慮避免報稅高峰期或認證高峰期,避免稅收業務集中的時間段。盡量安排在報稅期或認證期相對業務量少的正常工作時間,既有一定的業務量,影響又不會很大。(4)實戰演練的人員安排:在確定參加演練單位及職責時應對參與演練的工作人員和技術人員的職責進行明確劃分,詳細列出所涉及的內部資源和外部資源,并在演練前一一確認,對已經變動的資源做好更正。(5)實戰演練的破壞對象:鑒于目前,江蘇省國稅主要的業務系統,譬如CTAIS、防偽稅控等都是省級集中,因此,地市級信息安全實戰演練,不考慮破壞這些涉稅系統的服務器,同時,為了避免整個地市級稅收業務的中斷,可以考慮在實戰演練時,選擇性的破壞部分客戶端的正常應用。(6)實戰演練的外部資源支持:在進行實戰演練時,為了防止意外的發生并及時處理意外情況,務必盡可能獲取足夠多的外部資源支持。主要包括各信息安全廠商的技術支持及相關部門橫向的支持。這些外部資源支持務必到達實戰演練的現場,而非遠端電話支持。(7)實戰演練時務必保證信息的公開透明性,遇到各種情況及時通知。實戰演練前,亦應該明確告知演練可能會帶來的各種風險及演練的時間安排、參加人員等各種細節。(8)實戰演練后,務必進行相關的業務測試、功能測試,確保經過演練,各種設備使用正常,可以順利開展工作。
二、信息安全實戰演練的實現細節
(1)演練時間。根據實戰演練前提條件中提到的降低風險需考慮的因素,考慮將演練時間安排在報稅期或認證期的非業務高峰期的正常工作時間。可以造成對工作的影響,鍛煉相關人員的應急處理能力,具有一定的實戰意義。(2)破壞對象。對于地市級實戰演練,選擇一個下級單位和一個本級單位作為演練單位。選擇大廳發票發售、報稅認證、紅沖窗口各一臺計算機進行破壞,其他辦公電腦按20%的比例分部門進行破壞。(3)故障場景。鑒于實戰演練將風險降到最低的考慮,演練時,安全事件最好是可控的、可預期的,技術上的具體實現大致如下:考慮到國稅總局部署的VRV桌面安全管理系統具有策略管理中心,根據文件下發策略計劃安排指定部分客戶端,將具有破壞性的代碼文件進行下發,達到大范圍客戶端遭受惡意代碼攻擊而不能正常使用的故障效果。實現客戶端遭受惡意代碼攻擊的場景設計,主要有兩個批處理文件與一個注冊表注入文件構成,命名分別為“cmdstart0.bat”、“add1.reg”與“autorunreg2.bat”,命名規則仿照某些病毒文件名中含有數字的特征,容易識別。主要實現,將“cmdstart0.bat”添加進注冊表的開機啟動項中,達到開機即無限彈出cmd命令窗口的功能。(4)故障解決措施。由于此次演練場景為大范圍計算機遭受惡意代碼攻擊而不能正常使用,受影響客戶端數量眾多,若安全管理員一一手工刪除,工作量比較大,因此提供DOS批處理文件給客戶端使用人員,進入安全模式,雙擊運行該腳本即可。其中,該批處理文件命名為“recover.bat”,實現刪除注冊表開機啟動項及三個執行文件。鑒于該實戰演練場景設計中的三個批處理文件不具有傳染性,僅僅為惡意代碼植入,因此,一般刪除注冊表項cmd1,即開機不再自動運行cmd窗口無限彈出命令,那么計算機就可以正常使用了。
綜上所訴,隨著國稅系統信息化集中程度的提高,信息化安全體系的建設對保障國稅工作的順利開展起到了更加關鍵的作用,一旦發生信息安全事故將會給國稅事業帶來不可估量的影響。各級稅務機關制定了相應的應急預案,預案是否有效則需通過演練來進一步檢驗。在已經完成了桌面演練、模擬演練的基礎上,進一步推進具有實戰性的信息安全實戰演練,具有非常重要的意義。信息安全實戰演練的實現方案需非常的細化,鑒于篇幅有限,本文僅作為拋磚引玉,供讀者參考。
參考文獻
[1]劉建國,靳松,孫昌平.信息系統應急演練方案設計[Z].南京:江蘇省國家稅務.2008
[2]稅務系統網絡與信息安全應急響應工作指南(試行)[Z].北京:國家稅務總局.2007
我國政府網站建設已經走過了十八年的歷程。政府網站作為公眾獲取政府信息和了解政府的主要渠道和信息平臺,代表著國家和政府形象,同時折射出政府電子政務應用的綜合水平,因此,網站的安全穩定成為電子政務信息安全防護體系的重要組成部分。
近年來,網站建設整體水平隨著電子政務應用的不斷深入,政府網站所面臨的威脅和風險也正在不斷加大。根據國家互聯網應急中心統計,截至2013年9月,境內被篡改網站數量為6935個,其中被篡改政府網站數量為532個;境內被植入后門的網站數量為22810個,其中政府網站有360個。
一直以來,國家出臺了很多如等級保護等相關制度,對政府網絡安全建設等級逐步加強,防護能力得到了很大的提升。但2013年“棱鏡門”事件讓全世界為之震驚,同時也真真切切地給我國政府、企業乃至個人上了一堂現實版的信息諜戰課,使“信息安全”再一次成為2013年最受關注的詞匯之一。透過“棱鏡門”事件,我們清楚地看到,在信息技術方面我國還有太多的硬傷,無論從軟件到硬件,從操作系統到網絡設備,從安全意識到防護手段,我們的安全意識和綜合實力急需進一步全面加強。
政府網站防護功夫不足
由于網站是暴露在相對開放的環境下的一種網絡應用方式,更容易導致來自外部互聯網或內部網絡上的安全威脅。造成當前網站安全威脅的原因多種多樣,除了互聯網快速發展,黑客技術和黑客攻擊手段的不斷增多,入侵者的裝備及技術水平正在不斷地超越政府網站的防護力量,還有我們自己有很多防護工作沒有下足功夫,其中主要表現在五個方面:
信息安全意識不強,對系統防護工作重視不夠。很多單位都沒有安排信息安全的具體負責人員,對網站系統的安全防護工作也沒有進行規劃部署,系統從未做過安全評估,主管領導對網站系統安全狀況掌握不足,相關工作還沒有落實到位。
技術防護水平薄弱,面對攻擊和入侵應對措施匱乏。政府網站的整體防護水平還比較薄弱,管理維護人員的安全技術水平有待進一步提高;同時受限于資金和人員問題,很多單位在應對攻擊和入侵時應對手段比較匱乏,一旦遭受攻擊,網站系統癱瘓后恢復的難度較大,同時存在被多次攻擊的情況。
對開發商缺乏監管,網站設計開發時缺少對安全的考慮。由于缺乏對網站系統開發單位的監管和要求,政府網站的設計和開發對安全的重視程度不夠,很多網站在上線后,存在代碼處理不嚴謹、語句語法、文件路徑泄露等問題,同時后臺支持數據庫的管理也比較混亂,存在很大安全隱患。
由于利益驅動等原因,內部個別人員對網站進行惡意破壞。個別單位的網站系統,存在被內部人員因為利益和其他原因,從內部進行破壞的情況。這種破壞雖然不常見,但是往往后果都比較嚴重。
缺少應急處置措施,發生安全事件時反應緩慢處置不力。大多數政府機關在應急處置方面還存在盲區,應急方案不夠完善,網站系統一旦遭到攻擊、篡改,沒有具體的應對的流程、沒有協調聯系人、沒有應對處置措施,同時很多的單位沒有與設備廠家建立日常聯系溝通機制,也沒有信息安全技術支持隊伍,造成應急事件處置起來存在較大問題。
五項“加強”保安全
針對以上問題,筆者認為面對政府單位的網站系統,必須常備不懈,對信息安全工作緊抓不放,做好以下五項“加強”工作:
加強信息安全的培訓和教育,提高信息安全意識。安全防范的根本是提高人的安全意識。通過組織各種形式的培訓,不斷提高機關人員的信息安全意識,形成從上到下 “信息安全是第一安全”的思想,加強相關部門、人員的主動防護意識,提升單位整體的信息安全認識。
加強信息安全技術水平,增強入侵和攻擊的應對能力。通過專業的培訓學習,提高單位關鍵崗位維護人員的信息安全技術水平,增添必要的信息安全防護設備,確保對網站系統的基本安全保障,設置合理的網絡安全管理策略,以應對來自互聯網絡的攻擊和破壞。
加強對開發商的監管,網站的設計開發遵循國家標準。網站使用單位應該要求網站系統的開發單位嚴格按照國家信息安全的管理要求,加強網站系統架構的健全性和安全性,并且遵守軟件開發方面的安全要求,盡量避免出現安全上的漏洞,并對測試時發現的問題進行修補,同時對數據庫實施嚴格的安全管理。
加強內部的信息安全管理,做到防患于未然。進一步完善信息安全規章制度,形成具有整體性的信息安全工作規劃,從整體上部署信息安全工作重點及任務,形成分工明確、權責清晰的層次化管理結構,同時制定嚴格的信息安全事件問責制度,將內部發生事件的概率降至最低。
僅供參考
一、總則
(一)編制目的
建立健全通信保障和通信恢復應急工作機制,提高應對突發事件的組織指揮能力和應急處置能力,確保通信安全,保證應急通信指揮調度工作迅速、高效、有序地進行,滿足突況下通信保障和通信恢復的需要,確保通信網絡安全暢通。
(二)編制依據
制訂本預案的依據是《中華人民共和國電信條例》、《中華人民共和國無線電管理條例》、《電信運營企業(單位)應急預案制定框架指南》、《國家通信保障應急預案》、《市通訊應急保障預案》和《縣突發公共事件總體預案》及相關法規、條例。
(三)應急分級
ⅲ級:因較大突發公共事件或不可抗力等事件引發的,有可能造成一個全縣通信故障的情況;通信網絡故障造成全縣通信故障的情況。
ⅳ級:因一般突發公共事件或不可抗力等事件引發的,有可能造成本縣50%以上通信網點通信故障的情況;通信網絡故障造成本縣50%以上通信網點通信阻斷的情況。
(四)適用范圍
主要用于通信事故、自然災害(洪水、地震、冰雪災害、臺風、泥石流等)、反恐事件、公共突發事件、重要通信保障任務、涉及國家安全等應急通信保障。同時適用于電信分公司、移動分公司、聯通分公司所屬通信網絡、通信設施在自然災害及其它突發事件中遭到破壞情況下的處置和通信恢復。
(五)工作原則
1.統一指揮,協同作戰。
電信分公司、移動分公司、聯通分公司在縣通信應急保障領導小組的統一領導下,縣經商科技局通信應急保障領導小組協同指導下,根據本應急預案,認真履行各自職責,密切配合,充分發揮整體效能。
2.實時監控,加強防范。
各分公司特別是各分公司網絡監控中心要加強對關鍵網絡設施實時監控和防范,一方面要防止不法分子利用網絡傳播有害信息,另一方面針對一些敵對組織可能會對網絡發起的大規模攻擊和破壞活動,及早發現苗頭、動態,提前做好應急處置工作。
3.快速反應,控制事態。在發生突發事件、緊急情況時,各單位可以根據預案總原則,在迅速上報的同時,及時采取有針對性的應急處置措施,防止事態進一步蔓延,將損失和危害降到最小。
4.全程記錄,追查根源。
各單位在發生網絡信息安全事故時,要及時做好事故情況記錄,以便與有關部門緊密配合,追查事故的根源,并協助相關部門進行處理。
5.出現ⅳ級以上(包括ⅳ級)異常狀態,及時上報縣委政府,要求各相關部門應立即啟動應急預案,組織通信搶修和迂回調度,在半小時內將有關情況報告縣應急通信保障領導小組和各單位市級公司通信值班室或應急調度中心。
二、組織體系
為保證網絡通信安全,以便在通信網絡出現阻斷、遭到破壞時,能夠迅速組織力量采取有效保障、處置措施,成立縣通信保障應急領導小組和辦公室。各通信分公司也要按此要求成立相應領導機構和應急救援隊伍。
(一)通信保障應急領導機構
1.通信保障應急領導小組
組長:局黨委書記、局長
成員:局黨委、班子分管領導
信息股全體人員及熟悉信息工作相關人員
電信分公司分管副經理
移動分公司分管副經理
聯通分公司分管副經理
縣辦事處總經理
2.通信保障應急小組辦公室
應急領導小組下設辦公室,負責通信保障應急日常工作。辦公室主任由局黨委、班子分管領導兼任,由以下成員組成:
成員:縣交通局分管領導
縣公安局分管局長
縣電力公司副經理
電信分公司分管副經理
移動分公司分管副經理
聯通分公司分管副經理
縣辦事處相關負責人
3.通信應急搶險隊伍
辦公室下設應急搶險隊,由各通信分公司應急搶險隊伍組成,搶險隊伍具體由網絡部技術人員和維護人員組成,負責具體的搶險實施工作。一旦啟動應急預案,各公司應急搶險隊伍必須服從縣通信應急保障領導小組的統一指揮和調度。
4.通信網絡維護工作
辦公室下設應急搶險隊,由各通信分公司網絡維護工作人員組成,負責具體的搶險實施工作。一旦啟動應急預案,各公司應急搶險隊伍必須服從縣通信應急保障領導小組的統一指揮和調度。
(二)領導小組和辦公室職責
1.領導小組職責
領導小組負責全面應對突發事件的通信保障、通信恢復應急工作的領導、組織、指揮和協調,主要職責如下:
(1)貫徹國家有關方針、政策及國家信息行業主管部門相關文件,落實國家通信保障應急工作相關政策及規定。
(2)貫徹落實縣通信保障應急預案的相關要求。
(3)遇重大突發事件,啟動本預案,并下達通信保障應急任務。
(4)在緊急情況下,調用各通信公司各種資源,做好通信保障的組織、協調工作。
(5)結合重大突發事件的實際情況,決策實施通信保障應急預案,并向市政府相關部門和市通信管理部門匯報情況。
(6)完成上級部門安排的其他應急保障任務。
2.辦公室職責
(1)承擔縣通信保障應急領導小組應急通信保障的日常事務。
(2)管理、指揮、調度所轄區域內的應急資源,并跟蹤、監控管理區域內突發事件狀況,匯總信息,及時上報。
(3)開展通信保障應急預案并組織演練。
(4)組織各專業應急搶險隊搶通、搶修損毀的通信設施。
三、運行機制
(一)預警機制
1.網絡分析評估
各通信分公司,根據通信網絡運行情況和網絡結構變化情況,定期或不定期對網絡運行狀況進行評估。根據評估報告,修訂應急預案,必要時提出網絡改造方案并組織實施。
2.網絡薄弱點級別、預警
各分公司相關技術部門、人員對通信網絡進行評估,重點針對網絡的薄弱環節,并根據程度不同,提出預警。同時,當出現雷雨、冰雪、大面積停電和大型活動時,應及時提出預警。
(二)應急處置
1.故障信息報告
根據《電信通信故障上報制度》等相關規定,及時與突發事件有關的部門、通信管理部門、重要單位和用戶,包括防汛、地震、反恐、醫療救護、民航、銀行、鐵路、稅務、電力等通報相關信息。
2.應急啟動與響應
當ⅳ級通信突發事件發生時,應立即將情況上報縣通信保障應急工作辦公室,辦公室根據突發事件嚴重性,及時向縣通信保障領導小組上報并提出建議,由領導小組決策并啟動應急預案。需要上級信息行業主管部門進行協調的,應立即上報。啟動本預案時,相應的分公司通信保障應急管理機構應提前或同時啟動下級預案。同時,各通信分公司應急搶險隊伍在接到保障通知后5分鐘響應,盡最快速度到達指定地點,實施或者準備實施搶險。
3.業務恢復原則
業務恢復的原則是先重點、后一般。
電路調度順序為:
(1)縣委、縣政府首長專線。
(2)搶險救災指揮部通信聯絡電路。
(3)黨政專網電路。
(4)保密、機要、安全、公安、武警、等重要客戶的出租電路。
(5)地震、防火、防汛、氣象、醫療急救等部門租用的與防震、防火、防汛、氣象信息、醫療急救等有關的電路。
(6)金融、稅務、電力等與國民經濟密切相關部門租用的電路。
(7)其他通信電路。
4.通信保障應急工作要求
(1)應急通信系統應保持良好狀態,實行24小時值班,所有人員應堅守工作崗位待命。
(2)主動與上級有關部門聯系,及時通報有關情況。
(3)相關電信運營企業在執行通信保障任務和通信恢復過程中,應顧全大局,積極搞好企業間的協作配合,必要時由縣通信保障應急工作辦公室進行統一協調。
(4)在組織執行任務過程中,現場通信保障應急指揮機構應及時上報任務執行情況。
5.網絡復原后處理
網絡通信一旦復原后,需立即對網絡進行相關測試驗證,并由技術維護人員及時出具故障報告,分析故障原因,提出相應的防范措施。
(三)應急處理后評估
1.網絡維護與建設工作改進
根據故障發生的原因,結合網絡結構和應急處理的過程,總結分析其中存在的不足,提出包括網絡建設、網絡維護、物資儲備和人才隊伍建設等相關工作的改進措施。
2.應急預案改進
通過應急預案的演練或實戰,查找應急預案中存在的問題,并結合實際進行修訂,使之更加完善。
(四)信息
每次通信保障應急處理后,結合處理過程和總結分析,及時相關信息。信息工作要堅持實事求是、把握適度、內外有別的原則,統一信息口徑;要加強與新聞媒體的溝通,必要時可報請上級信息行業主管部門審批。
四、優化應急工作機制
通信保障和通信恢復應急任務結束后,通信保障應急領導小組及辦公室應做好突發事件中公眾電信網絡設施損失情況的統計、匯總,以及任務完成情況的總結和匯報,針對事件,查找問題,研究整改措施,不斷改進優化通信保障應急工作。
五、應急保障
(一)人力保障
各通信分公司要加強人才隊伍建設,加強技術支撐對網絡建設維護培訓、學習,熟悉網絡結構、熟悉應急預案,提高技術支撐的綜合素質。
(二)備件保障
加強備品備件的管理工作,定期檢查預案中相關備品備件準備管理工作,確保相關備件隨時均能及時提供。
(三)機動通信與物資保障。
加強與上級通信管理部門和物資采購中心的溝通配合工作,提前做好相關準備工作,一旦發生通信保障需求,及時請求設備、物資支援。
(四)交通運輸保障
為了保證突發事件發生時通信保障應急車輛及通信物資能夠迅速抵達事發地點,縣交通部門負責為應急通信物資的調配提供必要的交通運輸工具支持,以保證應急物資迅速到達。
(五)電力保障
突發事件發生時,電力部門優先保證通信設施的供電需求。
(六)治安保障
突發事件發生后,啟動應急預案后,公安部門要迅速組織人員趕赴突發事件發生區域,維護社會治安,確保社會穩定。因人為破壞引發通信突發事件時,公安部門應第一時間趕到現場,收集現場資料,迅速開展事故調查,并維護現場秩序。
(七)經費保障
因通信事故造成的通信保障處置費用,由各級通信保障單位承擔;處置突發事件產生的通信保障費用,按照國家信息主管部門要求并參照《國家財政應急保障預案》執行。
(八)信息保障
通信應急領導小組辦公室要建立應急保障通信溝通協調機制,各通信公司在執行通信保障應急任務過程中,應加強與上級通信部門和縣通信應急領導小組辦公室的信息溝通協調,及時反映通信應急保障搶險救過程中存在的重大問題,研究解決通信保障過程中出現的問題,確保完成通信保障應急任務。
六、監督管理
(一)預案演練
專業搶修及維護隊伍,要按照運行維護體系的組織管理,對所負責的搶修及維護對象(專業項目)進行系統的搶通、恢復、迂回、替代方面的預案擬定,運作及流程設計,定期進行業務培訓,模擬訓練。
(二)宣傳和培訓
加強對通信網絡安全和通信保障應急的宣傳教育工作,各公司要定期或不定期地對本公司通信應急指揮機構人員和應急救險隊伍人員進行技術培訓和應急演練,保證應急預案的有效性和可操作性,不斷提高通信保障應急的能力。
(三)建立通信應急工作制度
【關鍵詞】計算機;網絡安全;主要隱患;措施
近年來,隨著我國逐漸進入信息化時代,計算機網絡給人們的生活帶來了諸多便利的同時,也存在很多安全隱患。計算機網絡技術的開放性特點和人們的不規范使用行為使電腦容易被攻擊而導致個人信息泄露。因此,科學的計算機網絡安全管理措施對于避免網絡安全受到威脅,確保計算機網絡信息安全具有重大意義。
1計算機網絡安全的主要隱患
1.1計算機病毒入侵
計算機病毒是一種虛擬的程序,是當前計算機網絡安全的首要隱患。病毒包括網絡病毒和文件病毒等多種類型,具有較強的潛伏性、隱蔽性、損壞性和傳染性等特征,如果計算機遭到病毒入侵,一般的殺毒軟件并不能徹底清除計算機病毒。
1.2黑客入侵
黑客入侵是常見的一種計算機網絡安全威脅。黑客非法入侵到用戶的電腦中,竊取用戶的網絡數據、信息,刪除用戶數據、盜走用戶的賬戶、密碼,甚至財產等。此外,黑客向目標計算機植入病毒時,會導致電腦死機、速度變慢、自動下載、癱瘓等現象,造成系統信息的流失和網絡癱瘓。
1.3網絡詐騙
計算機網絡技術的互通性、虛擬性和開放特性,給很多不法分子可乘之機,不法分子通常針對計算機使用者進行網絡詐騙,主要通過淘寶、京東等網絡購物平臺、QQ、微信等網絡交友工具、手機短信等手段散播虛假信息,使防騙意識薄弱的網民掉進網絡陷阱之中,進而造成其財產安全受損。
1.4網絡漏洞
大部分軟件都可能會發網絡漏洞,一旦網絡漏洞被黑客發現,很快就會被攻擊,其中惡意扣費攻擊尤為嚴重。現在比較熱門的App軟件中有97%是有漏洞的,網絡漏洞一般存在于缺乏相對完善的保護系統的個人用戶、校園用戶以及企業計算機用戶中,主要是因為網絡管理者的網絡防范意識薄弱,缺乏定期系統檢查和系統修復,導致網絡漏洞被暴露甚至擴大,從而導致個人信息泄露。
2計算機網絡安全管理的解決措施
2.1建立防火墻安全防范系統
防火墻是安全管理系統的重要組成部分,所有的數據和信息的傳輸以及訪問操作都要經過防火墻的監測和驗證,以防止黑客入侵、病毒侵染、非正常訪問等具有威脅性操作的發生,進而提高了網絡信息的安全性,對保護信息和應用程序等方面有重要的作用。因此,用戶應當建立防火墻安全防范系統,及時安裝更新防火墻軟件的版本。
2.2定期升級防病毒和殺毒軟件
防病毒軟件是做好計算機防護工作的必要安全措施。在計算機網絡安全管理中,滯后及功能不全的殺毒安全軟件將大大增加系統被病毒入侵的機率,因而為了降低病毒入侵的風險,用戶最重要的是選擇具有優良的安全性能、包含自動報警功能的防病毒和殺毒軟件,定期對殺毒軟件進行升級以保護系統。
2.3引入新型的網絡監控技術
互聯網技術的發展日新月異,傳統的維護系統的防護技術已經遠遠不能滿足用戶的需求,必須進行技術創新,引入新型的網絡監控技術。比如:①利用數據加密技術,將重要的數據進行加密處理。②用戶需要加強計算機網絡的權限設置,建立認證體系等措施方式設置密碼和訪問權限,控制訪問過程,及時對窗口進行安全檢查,防止非法入侵,盜取信息,保證網絡系統的外部安全性。此外,新興的計算機入侵檢測技術也是繼防火墻之后的第二道重要防護關口。
2.4健全應急管理機制
為了妥善應對和處置網絡與信息安全突發事件,確保系統的安全運行,健全應急管理機制是必不可缺的管理措施。網絡安全應急預案的制定可在計算機網絡安全管理的責任制度的基礎上,從以下幾方面進行完善:①及時對應急預案做出科學調整和動態更新,及時改進可行性低的地方,使應急預案充分發揮應急效果。②在以往的計算機網絡安全案例的角度上分析網絡安全事件的原因和技術短板,細化網絡安全應急預案,提高應急預案的可行性和實用性。③成立信息網絡安全事件應急處理小組,落實安全責任制,開展網絡與信息安全應急演練,形成科學、有效、反應迅速的應急工作機制,保障重要網絡信息系統的穩定運行。
2.5加強安全防范教育,提高用戶防范意識
人們的網絡安全防范意識極為薄弱,大多數計算機網絡安全隱患是由用戶使用不當造成的,所以國家相關部門應對計算機用戶加強安全防范教育。應該定期組織公益性的安全知識教育講座普及網絡安全知識,對網絡安全知識不合格的人應當進行再教育和再培訓,制定安全教育責任制,提高用戶防范意識。此外,用戶更要從自身做起,樹立網絡信息安全危機意識,自覺增強防范意識,定期查殺病毒,及時更新安全管理軟件,不輕易信任陌生人的信息等。
參考文獻
[1]意合巴古力,吳思滿江.分析計算機網絡安全的主要隱患及管理方法[J].網絡與信息工程,2016(9):69~70.
關鍵詞:供電企業;IT運維;風險管理;IT監控
作者簡介:勞衛倫(1979-),男,廣東廣州人,廣州供電局有限公司。(廣東 廣州 510620)
中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)27-0162-02
IT運維服務管理為供電企業安全穩定運行提供了重要的科技保障和技術支撐。如何加強信息科技風險管理,完善研發和運維有機結合體系,強化供電企業運維體系建設是提高運維服務管理能力的一個重要課題。長期以來,廣大供電企業致力于提升信息安全管理水平,保障供電服務持續安全穩定,在實踐中摸索形成了信息科技運維體系的長效管理機制。
在供電企業強化IT運維體系建設的實踐過程中,本文從應用角度出發,提出應該圍繞流程建設的關鍵需要,緊抓三個工作關鍵點,遵循優化管理方法論,通過分析與結合五個重要因素的方式,積極推動供電企業IT服務管理從被動的基礎的IT運維工作向主動的高層次的IT服務管理發展。
一、重視運維管理的“三個關鍵點”
在供電企業運維管理體系建設階段,應緊密圍繞運維的三個關鍵點開展工作:完善運維流程管理、打造監控及一體化管理、強化應急管理。
1.完善運維流程管理
按照ITIL規范,重點加強事件管理、變更管理、問題管理、配置管理等關鍵管理流程和設備管理、機房管理、數據管理等制度標準的建立與執行。為了整合管理流程,完善信息交互機制,形成閉環管理,應明確事件分級方法,建立有效的事件升級及響應機制,加強事件后續分析與處理,不斷優化管理流程。在變更管理方面,建立變更分類標準和變更分級審批流程,完善變更窗口管理制度,有效降低變更對生產運行的負面影響;在配置管理方面,制定配置參數移植、修改、備份、存儲、更新、銷毀等方面的管理制度,控制配置項操作引發的風險;在數據管理方面,完善數據存儲、使用、傳輸、備份和銷毀管理,重點強化客戶信息和經營分析數據等敏感數據訪問的授權、清理、銷毀等使用管理;在機房管理方面,進一步加強企業機房人員、供電條件、空調環境、防火防鼠等物理環境管理。
另外,應妥善處理業務、開發與運維的關系,做到界限明確,職責明晰,有條不紊。三者間的職責分工可按圖1所示處理。其中,業務部門負責協調和處理系統應用過程的業務問題,負責制定應用系統的業務規范和制度,規范統一業務流程和業務功能應用,信息運維部門負責系統的日常運行維護工作,包括運行監控、用戶管理、變更管理、安全管理和最終用戶系統問題支持,業務問題則按照業務操作手冊進行支持,記錄、評審、跟蹤最終用戶的各種需求。
2.加大集中監控及一體化管理力度
首先,制定生產系統中軟硬件、網絡環境及應用系統性能監測的監控策略與指標體系。在實現對設備、網絡、物理環境、應用系統等進行監控的基礎上,重點加強對核心企業級應用系統和對外營銷客服系統的監控,確保企業核心應用系統和關乎企業形象的重要系統穩定運行;建設統一的系統監控平臺,為了展示全局視圖、快速定位故障、縮短處理時間,統一管理和展現各種監控資源,提供集中的IT配置庫和知識庫,實現簡潔易用的集中告警方式,全面、及時掌握系統整體運行狀態。
其次,加大跨專業平臺監控系統的整合力度,提高上級部門對基層單位實際生產狀況的監管能力,通過監控手段逐步完善跨部門在流程啟動、處理、監控、報告、跟蹤和反饋各個環節的運行機制,完成全范圍覆蓋供電企業的基礎設施和主要應用系統運行情況的總體監控,從而切實提高IT運維管理的自動化水平,逐步推進企業級應用系統的統一建設,最終促進實現運維管理一體化的建設目標。
3.加強應急處理,提高跨部門協同能力
應急管理的范圍包括故障應急處理、災難恢復計劃(DRP)或業務連續性計劃(BCP)等方面。
首先,建立健全供電企業應對重大事件或突發事件的及時預警、報告、決策、指揮、響應和退出等節點的應急處理機制。建立清晰明確的報告流程和報告路線;建立應急指揮和跨部門統籌協調機制,實現高效決策,保證指揮流程暢通;制定應急處置響應流程,加強關鍵崗位人員的配置和培訓。風險管理機制應包含跨部門的橫向協助模式,包括客戶服務中心、新聞中心、轄屬供電所的高效聯動和緊密溝通協作。
其次,建立應急預案一體化管理體系。建立包括常態預案和專項預案的框架;統籌預案管理,加強預案之間的銜接與配套;制定預案編制規范,保證預案編制質量;建立有效的預案維護機制,涵蓋預案的制定、評審、、變更和回收過程;建立預案后評價與持續改進機制,保證預案有效性。另外,逐步加強災備體系建設,根據風險戰略與業務連續性目標,制定災難備份體系建設策略與實施路線;以業務快效恢復為目標,逐步推進異地災難備份建設。同時,供電企業應把服務水平協議(SLA)與運維績效考核(KPI)逐步固化到ITIL運維流程管理系統,執行以KPI為引導的管理指標。
最后,供電企業應開展計劃性安全演練,對每次演練工作做到事前嚴謹策劃部署,事中嚴格按照流程處理,事后認真評估總結提高。
綜上所述,在供電企業IT運維服務管理建設實踐中,應考慮完善運維流程管理、打造監控及一體化管理平臺、加強應急管理等功能,依照ITIL規范,推行“以客戶為中心,以流程為導向,實現全生命周期管理”的IT運維新型模式。隨后應從自身企業管理文化出發,在超越ITIL的IT運維服務管理流程基礎上,按照自身特點,逐步把IT運維管理的最佳實踐和企業自身實際相結合,從而有效提升企業的IT運維服務管理水平。
二、加強運維管理的“五個結合”
圍繞IT運維管理的三個工作關鍵點,識別出五個重要因素,即領導決策、制度保障、流程優化、技術支持和培訓。五個重要因素之間的關系如圖2所示。
1.領導決策
在調研和分析現狀的基礎上,領導決策是領導者制定決策和實施決策的過程,發揮著決定性作用。在決策過程中,企業領導在專家和員工集體智慧的支持下,對各種實施方案的提出進行分析和選擇,決定IT運維服務管理的整體部署、工作思路、實施步驟、持續改進提升方案等,以保證整體工作按計劃有效推進。另外,按照增量問題及時進行討論和研究,作出調整和應對,在跨部門資源調配、跨崗位人員協調配合、項目實施進度和質量管控方面發揮著重要作用。從滿足監管以及風險管理迫切需求的角度來說,領導決策的科學性和規范化應予以重視,需要合理的管理流程和安全高效的管理控制手段相結合。
2.制度保障
設立制度和規范是保證供電企業IT運維工作有序開展的重要基礎與前提。供電企業應以上級電網公司出臺的標準和監管要求為基準,結合IT服務管理的最佳實踐ITIL和相關國際標準制定符合企業實際情況的IT服務管理標準,并不斷健全運維管理的制度和標準。
3.流程優化
流程是保證業務正常運作的重要紐帶。流程“透明化”需要落實在供電企業的具體實踐中,不斷健全運維績效考核評價機制和更新SLA內容,保證服務級別協議的執行和服務報告的常態化管理。運維管理要實現企業內外的透明度,需要清醒的認識到,指標只是衡量的一種顯性方式,關鍵是如何融合到工作流程中,讓每一位員工都了解KPI,并實時掌握自己當前的績效,從而真正發揮KPI的導向作用。做好從時效、質量、滿意度等考慮的事件、問題、變更管理的基礎工作,包括以SLA、系統可用率考核的重大事件或故障、系統容量、性能管理等工作,打好基礎,才能具備實現“透明化”目標的條件,才能幫助運維部門把日常工作的壓力轉變成動力,完成從被動IT運維到主動IT服務的轉變。
4.技術支持
采取現代計算機技術是實現IT運維的助推器。在信息化時代,應當通過多種方式,如PDA、手機短信告警、遠程登陸或監控,甚至采用微信互動等技術,拓展傳統運維手段,保證運維能力的時效性。同時,把各種行之有效的IT服務管理思想、IT管理流程和運維管理經驗在系統中固化并在工作實踐中不斷優化和完善,如通過提供知識庫等服務拓寬系統支撐功能。
5.人員培訓
加強對運維人員的培訓力度,通過知識庫積累學習、專家授課、資深員工傳幫帶、宣貫制度和規范等多種形式,保證運維人員掌握必備的技能,按照工作崗位職責需要提升個人技能。另外,對員工培訓情況進行定期評估,按照PDCA方式循環提高培訓質量,促進培訓效果的發揮。在不斷總結經驗和了解實際需求的基礎上,應對培訓效果持續評估,歸納出寶貴經驗并在企業全范圍內推廣使用,通過各種新渠道拓展培訓方式,如微信平臺、遠程教學和電子移動自助課堂,進一步加強培訓效果。
三、總結
本文根據IT服務管理識別工作關鍵點原則,探討了供電企業信息科技運維服務工作的思路。以IT運維流程管理為基礎,識別工作關鍵點和重要因素,把IT服務管理的理念和最佳實踐融合進IT運維服務管理平臺中,真正推動供電企業的IT運維管理轉變為主動的高層次的IT服務管理,為構建智能數字化電網的宏偉目標提供完善的科技保障和技術支持。
參考文獻:
[1]許宏彬.面向業務服務的供電企業IT運維管理研究[J].電力信息化,2010,8(10):30-37.
[2]洪汛.供電企業IT資產全壽命管理的實施[J].科技與企業,
2013,(3).
[3]楊先杰.ITSM運維體系在電力企業的研究與應用[J].電力信息化,2010,8(2):78-81.
一、金融機構計算機安全管理重要性
金融機構開展計算機安全管理工作有助于整體行業的科學穩定發展,可良好應對金融機構自動化、電子化、現代化發展管理中面臨的各類安全風險問題,凈化行業環境,提升行業綜合發展能力。計算機網絡系統在金融機構中的廣泛應用,機構自身的信息化發展及開展股份制改革與發展上市之后令各類人性化業務豐富拓展,充分滿足了人們個性化的需求,同時也令金融機構管理服務系統面臨著各類安全風險因素的不良影響與侵害,因此金融機構在注重市場風險、信用風險、流動風險等傳統管理的基礎上更應將計算機安全管理擺在重要位置,令其成為機構全面管理體系之中核心組成部分。這是由于金融機構一旦發生不良風險事故,不僅會影響到各類金融服務業務的辦理與正常運行,還會令機構自身的市值-聲譽受到危害影響,因此金融機構唯有強化關注計算機安全管理,對實踐管理工作提出高水平保障要求,才能積極應對風險、杜絕不良影響,并有效提升IT行業綜合治理水平。金融機構應依據行業管理治理模式、計算機安全管理與綜合發展戰略的一致性,將績效評估、管理資源等構建成為IT行業的總體治理框架。
二、金融機構計算機安全管理實踐中存在的問題
金融機構在開展計算機安全管理實踐中由于對整體風險管理的流程、體系、工具與計量方式等層面的研究還不夠深入,沒有真正構建一套行之有效、可量化管理指標體系,因此無法有效衡量金融業各類信息的安全隱患并科學滿足風險管理要求。其管理實踐中排除人為失誤工作影響外,還同計算機復雜系統軟硬件的應用環境密切相關,因此要開展準確科學的評估及度量仍舊包含較大難度。同時金融機構開展計算機安全管理中還欠缺良好的災難備份系統建設,一旦發生安全事故動輒會令眾多機密信息、商業數據遭到破壞性影響,因此應科學構建災難備份管理體系,實施數據信息的安全保護,進而確保重要業務、設施系統的持續健康運行,并控制降低系統維護建設成本。另外金融機構開展計算機安全管理離不開各業務部門的參與與關注,因此金融機構應科學制定應急計劃,開展應急處理工作,各個科技部門與業務部門則應提供必要的協作支持,進而共擔風險,降低項目后期的變更需求現象,合理控制資源消耗,并提升產品投產效益。
三、金融機構計算機安全管理的科學策略
1.創建金融機構計算機安全管理體系。為提升計算機安全管理水平,金融機構應科學組建安全管理體系,推舉機構領導擔任體系組長,各個業務部門、辦公室負責人應成為體系成員,一同負責機構計算機安全管理實踐工作中各類重大事件的災難備份、應急處理、計算機系統恢復等各類安全防護工作。同時科技部門應向組長與組內成員定期匯報有關計算機安全管理的實踐工作狀況。同時金融機構總部與子公司科技部門應專項設立負責實施計算機安全管理的機構部門,科學打造一批專業化、系統化、規范化的保障金融機構計算機安全管理的大型工作隊伍。
2.積極研發計算機安全管理應用軟件。隨著各類現代化信息技術的飛速發展,金融機構應與時俱進,大力研發新型計算機安全管理軟件,積極更新版本,為研發應用提供優質保障。首先應持續更新測試與研發管理流程,強化需求管理、研發進程管理,研發項目方案質量控制與審查。同時對應用軟件版本的測試、與投產策略應做到及時調整優化,應科學遵循集中軟件版本投產原則,有效解決頻繁投產問題,降低由于軟件生產、投產與版本變更帶來的不良風險隱患。同時金融機構應強化同各類業務部門的積極配合,通過良好的協調溝通令風險有效分散并實現分擔共擔風險目標。
3.科學實施操作管理與運行維護。金融機構開展計算機安全管理實踐工作中應科學避免生產運行發生風險,依據相關數據統計,約百分之五十的生產運行安全風險由于計算機安全管理操作不當而引發。因此金融機構應將計算機安全管理實踐工作作為科技信息工作的首要指導思想,強化各項工作安全管理,有效避免系統運行風險的大面積發生。應科學建立集中統一的監控管理體系平臺,對開放系統、逐級展開實時監控,并實現自動化運行。同時應通過部署有效提升各類網絡系統、管理性能容量系統、資源系統及工具的自動化運行程度,完善建立應急管理綜合體系,科學明確應急管理流程及預案,確保在發生緊急安全事故時可實施妥善及時的處理進而將不良影響控制在最低水平。
4.開展信息安全及連續性業務管理。開展信息安全管理應首先創建完善健全的內部信息安全控制體系,借助管理技術手段確保金融機構數據與信息系統的完整性、機密性及可用性。金融機構應科學組建信息安全專業防護隊伍,對各信息包含的安全隱患開展及時的分析并有效解決。同時,應科學落實相關信息安全系統規范、等級保護實踐措施,部署掃描漏洞、檢測入侵等安全信息防護工具,實現客戶端綜合安全管理。由于及時采取了各類行之有效的安全防御措施,因此即便受到網絡安全攻擊也能降低對穩定運行信息系統的不良影響,確保系統及各項金融業務的正常運行辦理,進而對金融機構的良好聲譽實現有效維護。另外金融機構應科學遵循主機系統災難備份、集中數據處理、多點平臺接入、跨區受理業務等原則建設信息系統相關技術體系,創建災難備份運行系統,開展同城磁盤備份鏡像,進而確保信息體系的健康持續運行。金融機構還應定期開展業務級災難的應急恢復演練,進而確保災難備份系統操作的熟練性及優質功能的全面發揮。
四、結語
總之,基于金融機構開展計算機安全管理的科學重要性及其面臨的各類安全管理實踐問題,我們只有制定切實可行的應對策略,全面開展計算機安全管理才能有效提升金融機構綜合發展水平,為其創設安全、可靠的優質建設環境并實現信息化、科技化、安全化的科學發展。
[關鍵詞] 醫院信息系統;應急預案;分級管理
[中圖分類號]R197.321 [文獻標識碼]A [文章編號]1007―8517(2011)15―0133―02
醫院信息系統是維持醫院正常運行的重要保證,它在保障醫院日常工作正常運行方面起著越來越重要的作用。醫院信息系統的基礎平臺是醫院信息網絡,它是為醫療機構提供高效、規范運作的重要基礎,信息網絡是否正常運作直接關系到醫院信息系統是否有效運行。然而,在醫院信息系統的運作過程中,不可避免的會存在或人為或自然方面引發的故障。因此,為避免醫院信息系統因故障而引起的對醫院正常工作的影響,應該結合醫院運行的實際情況,制定適合醫院自身實際的醫院信息系統故障分級應急管理預案。
1、制定醫院信息系統應急預案的重要性
1.1 制定應急預案的目的
醫院信息系統應急預案是保障醫院正常運行的重要條件。制定一套科學、合理的醫院信息系統應急預案,目的就是為了保障醫院各個工作崗位的信息系統網絡發生故障時,能夠快速、有效的按照工作指引手冊,在最短的時間內化解信息網絡故障帶給醫院的影響,并在最短的時間內修復和完善醫院信息系統的網絡故障,保障醫院正常運行。在制定醫院信息系統應急預案時,一定要結合醫院自身的運作情況,以保障應急預案的可操作性和應急能力。
1.2 制定應急預案的重要意義
隨著社會信息化的發展,在醫療領域,數字化醫院建設也越來越成為醫院發展的趨勢,同時,醫院的各項業務劉信息化系統的依賴性也越來越強。可見,數字化醫院對信息化系統的醫療性越強,則對醫院信息系統的要求越高,一旦在醫院業務的高峰期其信息系統發生故障,就會嚴重影響醫院業務的正常辦理,嚴重者甚至會導致醫院業務系統的癱瘓狀態。
因此,醫院在應對突發事件的反應能力方面和在短時間內對自身信息系統的修復方面制定一整套預案,以避免醫院大量尚未就診的病人發生就醫秩序的混亂,從而引發醫院出現醫療隱患或對醫院不好的社會負面影響。因此,醫院制定一套簡要、科學、操作性強的信息網絡故障分級預案對醫院自身的運行和良性發展具有舉足輕承的意義。
1.3 制定應急預案的原則
醫院在制定信息系統分級應急管理預案時,為了保障管理預案的實用性和可操作性,就要做到從醫院自身發展的實際情況出發,根據醫院的發展水平和運作方式,充分發揮醫院各個部門的主觀能動性,并能夠實現各個部門之間的良性互動相互協助。同時,制定應急預案時要遵循以下兩個原則:
首先,要明確界定出醫院及其信息系統網絡故障的范圍及程度,并對各種信息網絡故障進行分級,分別對各個級別的網絡故障制定出相應的應對方案和解決措施。制定應急預案時要遵循第二個原則就是,要求醫院各個工作崗位的人員,不但能夠熟練掌握高度信息化、無紙化辦公的工作方式,而且能夠在醫院信息網絡出現故障時,具備迅速恢復傳統工作流程和工作方式的應急能力,即醫院要通過常態化應急演習,保障醫院工作人員在預防故障和實際解決故障能力的培養。
2、醫院信息系統故障的分級應急管理預案的建立
2.1 分級應急管理對各個崗位的要求
醫院信息系統故障分級應急管理按照崗位劃分,可以分為應急領導小組、醫療業務部門操作崗位及信息中心技術保障小組。
其中,應急領導小組的組成人員為醫院領導、信息部門以及醫院各部門的負責人,他們的任務是醫院應急工作的組織協調,并統籌規劃醫院應急預案的制定,同時應急領導小組還要檢查監督全院安全上作及安全措施的落實情況。
而醫療業務部門的操作人員則負責醫院各項手工操作時所需的紙張、收費價目表、印刷體等辦公用品。
信息中心技術保障小組的主要職責是制定信息網絡故障應急預案的主體,并組分應急預案的演練,同時還要及時總結和匯報醫院信息系統的運行狀況和修改意見等工作。
2.2 信息系統故障應急預案的分級:
一級預案:由人為或自然災害引起的設備故障。此時必須逐級上報,在主管領導的督促和協調下進行搶修。
二級預案:由于財務軟件故障、交換機故障、數據處理錯誤等涉及到多個部門的癱瘓。應該及時上報信息部,對故障進行排除。
三級預案:單個部門出現網絡故障或硬件故障而工作癱瘓。要立刻報告負責人進行故障排除。
四級預案:單個工作站點出現的軟件或硬件故障。此時應該由值班人員及時排除故障。
在分級應急預案的執行過程中,應急領導小組應該根據具體故障情況下達應急預案的啟動命令,并由信息部通知各個崗位的應急職責范圍及工作方式,以確保在最短時間內排除故障,保障醫院信息系統的正常運行。
2.3 信息系統災難性故障應急處理流程
3、結語
綜上,醫院信息系統的安全不但要信息技術支撐,而且要醫院各個部門之間相互協調。因此,維護好醫院信息系統是一項復雜的系統工程,醫院必須要進行定期檢查,時刻監督應急預案的落實情況,并加強應急演練,在演練中發現問題,及時解決問題。
同時,醫院所有人員不能存在僥幸心理,不但在技術上和管理上高度重視,而且要在每個人的心理上給予高度的重視,以更好的服務于病人,服務社會。
參考文獻
[1]楊德文,醫院信息安全方案的設計與實現[J],中國醫院統計,2006(3)
關鍵詞:電網企業;信息安全;風險;應對措施;管理體系
作者簡介:王旭(1964-),男,浙江寧波人,新疆電力公司電力科學研究院,高級工程師。(新疆 烏魯木齊 830011)張建業(1972-),男,浙江浦江人,新疆電力公司科技信通部,高級工程師,華北電力大學經濟與管理學院博士研究生。(新疆 烏魯木齊 830002)
基金項目:本文系國家自然科學基金資助項目(基金號:71271084)的研究成果。
中圖分類號:F270.7 文獻標識碼:A 文章編號:1007-0079(2013)26-0163-03
信息安全風險是信息化時代企業發展和內部管理所面臨的一個迫切問題,網絡化、信息化的飛速發展能夠給企業帶來無限的發展機遇,同時也讓應用信息化技術的企業面臨著各種不同的風險威脅,這些風險因素一旦發生,將對企業的日常運營、戰略目標的實現甚至長遠發展產生無法估計的影響。有效的信息安全風險管理體系對于企業規避信息安全風險、減少不必要的損失具有重要作用。
對于電網企業來說,信息化建設是推動電網企業智能化、現代化等長遠發展的核心推動力,但網絡病毒、黑客入侵等一系列風險因素,使得電網企業信息安全同樣面臨著巨大的挑戰,必須對電網企業面臨的各類信息安全風險進行有效控制,以保證電網企業的信息化內容正常運行。
一、電網企業信息安全風險分析
電網企業的信息安全風險就是企業的信息系統和網絡等面臨的來自各方面的風險威脅,各種內外部的、潛在的和可知的危險可能會帶來的風險威脅等。隨著網絡環境的復雜性不斷增加,新的信息技術的不斷應用發展,電網企業的信息安全面臨的風險因素也更為繁多復雜,同時由于其注重信息安全的行業特點,電網企業的信息安全風險管理面臨的壓力更大。為此需要對這些風險因素進行規范、合理的識別分析,進而建立綜合的風險管理體系。
電網企業的信息安全面臨著來自不同層次、多個方面的風險因素,有來自外部環境的風險威脅,也有企業內部的風險影響;有技術方面的安全風險,也有人員操作方面的安全風險等。具體的信息安全風險因素主要包括以下幾個方面:
1.木馬病毒入侵的安全風險
隨著網絡技術的不斷發展、電網企業內外部網絡環境的日益成熟和網絡應用的不斷增多,各種病毒也更為復雜、難解。木馬等病毒的傳染、滲透、傳播的能力變得異常強大,其入侵方式也由以前的單一、簡單變得隱蔽、復雜,尤其是Internet網絡和企業網絡環境為木馬等病毒的傳播和生存提供了可靠的環境。
2.黑客非法攻擊的安全風險
近年來各種各樣的黑客非法攻擊異常頻繁,成為困擾世界范圍內眾多企業的問題。由于黑客具有非常高超的計算機技術能力,他們經常利用計算機設備、信息系統、網絡協議和數據庫等方面的缺陷與漏洞,通過運用網絡監聽、密碼破解、程序滲透、信息炸彈等手段侵入企業的計算機系統,盜竊企業的保密信息、重要數據、業務資料等,從而進行信息數據破壞或者占用系統的資源等。
3.信息傳遞過程的安全風險
由于電網企業與很多的外部企業、研究機構等有著廣泛的工作聯系與業務合作,因此很多日常信息、數據資料等都需要通過互聯網進行傳輸溝通,在這個傳輸過程中的各類信息都會面臨各種不同的安全風險。
4.權限設置的安全風險
信息系統根據不同的業務內容對不同的部門、員工開放不同的系統模塊,用戶根據其登陸的權限設置訪問其范圍內的系統內容。每個信息系統都有用戶管理功能,對用戶權限進行管理和控制,能夠在一定程度上增加安全性,但仍然存在一定的問題。很多電網企業內都存在不同的信息系統,各系統之間都是獨立存在,沒有統一的用戶管理,使用起來極不方便,難以保證用戶賬號的有效管理和使用安全。另外,電網企業的信息系統的用戶權限管理功能設置過于簡單,不能夠靈活實現更為詳細的權限控制等。
5.信息設備損壞產生的安全風險
電網企業內的各類業務信息、數據資料、工作內容等信息都是依托于相應的軟硬件設備而存儲、傳遞、應用的,當這些計算機硬件設備、信息系統、數據存儲設備、用電支撐設備等由于企業內外部不同作用力的影響而出現癱瘓、停止工作等突發狀況時,會帶來重要信息內容的泄露、丟失等安全風險隱患。
6.人員操作失誤形成的安全風險
電網企業內的專業信息技術人員、業務人員、管理人員對信息系統的操作能力存在一定的差異,一些人員的意識較為陳舊、操作能力較差,在對信息系統、網絡連接、數據庫等的應用過程中,由于對這些技術內容不熟悉從而產生了一些錯誤操作,為此產生了許多意想不到的安全風險。同時,在運用過程中存在的思想偏差、理解偏誤、粗心大意等導致的誤操作也會產生相應的安全風險。
7.技術更新變化帶來的安全風險
當前的信息技術、系統開發、網絡應用、數據庫存儲等都在日新月異地飛速變化,幾乎每天都會發生更新換代的升級變化,沒有任何的信息技術能夠長時間使用。電網企業原有信息系統等設備進行升級換代或者與新的數據庫內容進行新舊結合以及轉換時,會因為兼容性差、不能匹配等原因造成一定的信息安全風險。
二、信息安全風險應對機制
電網企業的信息安全承擔著極為重要的作用,而其面臨的安全風險也是多方面的,僅從信息系統、技術設備的單一角度進行信息安全風險管理遠遠不夠,對于其他很多潛在的風險因素難以有效應對。因此需要從信息技術技術、企業管理、風險控制等多個維度來建立相應的措施,以應對可能出現的各類風險,從而從硬性技術層面到柔性管理層次形成多維度的風險管理手段。電網企業信息安全風險應對機制框架結構如圖1所示。
電網企業的信息安全風險管理應對機制是以風險控制角度為核心、信息技術角度為支持、企業管理角度為保障的雙向支持、互為影響的一個環狀模型,三者之間緊密配合、共同發揮風險應對的作用,具體內容如表1所示。
三、信息安全風險管理體系
電網企業信息安全風險管理體系是進行信息安全風險管理的核心內容,其他的制度建設等方面的應對機制都是為了更好地使風險管理體系發揮有效的作用,能夠在不同的情況下進行信息安全風險威脅的提前預防、風險發生時的控制、事后風險影響的結果處理等。
電網企業信息安全風險管理體系框架結構如圖2所示。
1.信息安全風險評估
電網企業信息安全風險評估是風險管理體系的第一部分,風險評估效果的好壞直接影響著后面風險管理環節的執行情況。通過風險評估的準確執行,能夠有效識別、分析各種不同風險的種類、來源、影響程度等內容,為后續的風險預防、控制等奠定良好的基礎。
信息安全風險評估主要由風險案例庫、風險因素分析系統、風險定量定性轉化系統、數據統計歸納庫、風險分析結果傳輸體系等構成,通過幾個模塊的有機結合來科學分析評估電網企業遇到的各類信息安全風險因素。
2.風險事前預防
電網企業信息安全風險事前預防就是在風險沒有發生時對各種風險進行提前預防,通過建立的預防計劃方案來提前避免風險的發生,從而保證信息的安全性。這是風險管理體系希望達到的最佳效果,因此該環節非常重要。
通過對風險案例庫的經常性學習,使相關部門和人員對各類風險有了總體的認識和了解;通過建立相應的風險預警裝置來提前警告風險的發生,使電網企業能夠提前采取措施來避免風險發生;運用信息安全風險管理制度加強員工的行為能力,避免風險產生;通過信息技術的相關配置,從信息系統、網絡、數據等方面提前對一些病毒風險等進行處理。
出色地執行電網企業的信息安全風險預防工作,能夠避免很多不必要的麻煩,從而有效減少后面風險控制工作內容。
3.風險威脅轉移
將可能發生或者即將到來的信息安全風險有效轉移到其他的地方,可使得安全風險沒有在電網企業的信息系統中發生,避免了風險帶來的威脅損害。風險轉移同風險的事前預防一樣,能夠在很大程度上將信息安全風險帶來的威脅降低到最小,避免其帶來的各類損失。
4.風險過程控制
在對信息安全造成威脅的風險發生時,采取各種方法、手段進行風險的最小化控制,使風險本身隨著控制的進行而逐漸變小甚至消失,將風險發生后造成的影響降低到最小或者控制在能夠承受的合理范圍內。
主要從信息系統、數據庫、網絡系統、計算機基礎設備等技術方面進行控制;從制度、標準、規范等管理層面進行控制;從人員培訓、部門協調等組織結構層面進行控制;從風險發生時制定的風險控制措施、計劃進行控制;形成動態反饋的風險發生、控制效果的反饋機制,以便及時對控制方案進行調整完善。
5.風險事后處理
信息安全風險發生后,對電網企業的信息系統、網絡、數據庫等造成一定的影響,已經沒有時間進行及時有效的風險控制,此時的工作重點在于如何采取挽救措施對風險造成的信息安全損失進行彌補,將其影響程度降低到最低。
從電網企業的信息安全風險評估開始,到信息安全風險的預防、風險發生時的控制以及風險后果的處理,對整個過程進行深入的分析、總結,發現風險管理體系存在諸多不足和缺陷,控制計劃在某些方面需要進行改進完善。將本次發生的信息安全風險控制過程整理進入案例庫,以便下次的風險預防借鑒。
電網企業信息安全風險管理體系中的各個流程環節都是按照一定的流程順序、風險發生種類、大小而進行的,其具體的流程如圖3所示。
6.非常態風險應急處理
在電網企業對信息安全進行風險管理的過程中,有時會出現一些案例庫、控制計劃之外的非常態風險,這些風險沒有以往成功的風險管理經驗可以借鑒,這時就需要在電網企業信息安全風險管理體系中建立相應的非常態風險應急處理模塊。
電網企業信息安全非常態風險應急處理主要是當意外的緊急風險發生時,能夠迅速啟動應急預案組織相關人員進行風險應對控制、風險預防和控制等;若風險已經發生,此時能夠及時還原數據、隔離外部風險入侵,使信息系統、網絡、數據庫在最快的時間內恢復正常運作。
四、總結
本文通過對電網企業信息安全重要性進行分析,提出了建立信息安全風險管理體系應對各種內外部風險威脅的必要性。在對電網企業信息安全的概念、特點等分析說明的基礎上,深入研究了電網企業的信息安全所面臨的各種不同的風險因素,建立了包括信息技術、企業管理、風險控制三個方面在內的電網企業信息安全風險應對機制。結合所建立的電網企業信息安全風險應對機制,本文構建了一套綜合、全面的電網企業信息安全風險管理體系。該體系的構建能夠從事前風險預防、事中風險控制、事后風險影響后果處理等三個環節進行全面的風險管理。
參考文獻
[1]張浩,詹輝紅,錢洪珍.電網企業信息安全管理體系建設中的風險管理實踐[J].電力信息技術,2010,8(6):21-24.
[2]劉金霞.電力企業給予風險管理的信息安全保障體系建設[J].網絡安全技術與應用,2008,(1):42-44.
[3]劉瑩,顧衛東.信息安全風險評估研究綜述[J].青島大學學報(工程技術版),2008,23(2):37-43.
【關鍵詞】高校;計算機信息技術;安全管理
隨著全球信息化經濟的迅猛發展,中國也迎來了自己的信息化發展時期。縱觀現代的競爭,早已從過去對資源、技術、人才的競爭,轉化為現今的對信息資產占有的競爭。當前,隨著我國信息技術的不斷發展,我國各大高校也紛紛開展了信息化建設,計算機信息技術在我國高校的不斷開展,對于我國高校在教學、科研方面也起到了很大的促進作用,提供了便捷的手段。然而,高校信息化建設在不斷高速發展的同時,也面臨著信息安全方面的嚴重威脅。信息如同一把雙刃劍一般,一方面能夠帶給高校無窮的生長力量,同時,也給高校帶來巨大的風險,使高校處于信息安全的威脅之中。因此,高校如何保證自己的信息安全和保密,創建一個嚴密、無懈可擊的信息安全管理體系,成為每一個高校需要研究的重要課題。
1計算機信息安全管理理論
1.1計算機信息
信息是關于客觀事實的可通訊的知識,信息是客觀世界各種事物表征的反映。“信息”又被稱為消息、資訊,通常以文字或聲音、圖像的形式來表現,是數據按有意義的關聯排列的結果。目前,根據對信息的研究成果,我們可以將信息的概念科學的概括如下:信息是對客觀世界中各種事物的運動狀態和變化的反映,是客觀事物之間相互關聯和相互作用的表征,表現的是客觀事物運動狀態和變化的實質內容。
1.2計算機信息安全
信息安全是指信息系統(包括硬件、軟件、數據、人、物理環境極其基礎設施)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常的運行,信息服務不中斷,最終實現業務連續性。主要包括信息系統或信息網絡中的信息資源免受各種類型的威脅、干擾和破壞,確保信息的完整性、可用性、保密性和可靠性,即確保信息的安全性。
2高校計算機信息安全管理理論
2.1計算機信息安全管理體系不健全
從目前高校的安全管理模式可以看出,仍在沿用傳統的“以經驗管理為主,以科學管理為輔”的較固定的管理模式。完全依靠開會強調安全管理的重要性,靠文件學習風險防范方法,靠人員的巡視檢查來督促各部門的對信息的安全防范。這樣簡單的、被動的、機械的管理模式,不能夠適應現在這個多變的社會環境。沒有一個全員的安全緊迫性、全方位的安全管理程序,不主動查缺補漏,輕視安全隱患,往往會鑄就大的安全管理問題。
2.2計算機信息安全管理手段較單一
高校往往重視教學和科研業務上的績效考核、獎勵激勵,而忽略了在信息安全管理方面表現卓越的激勵、保障制度。有關信息安全管理的規章制度也不成為專門的考核標準,一些信息安全管理方面的資金投入也較科研開發、教學業務拓展等較少。只是在出了事故后層層問責,而懈怠了平時的敦促、提醒、培訓。沒能根據實際工作環境和社會變化趨勢來應對信息安全問題,管理手段和方法單一落后。
2.3計算機信息安全監督機制不完善
監管部門的安全監督責任有待調整和規范。高校尚未出臺可資借鑒的安全監督執行力度標準,這樣,就會影響組織機構在進行監督信息安全管理時的執行力度。有法可依、執法必嚴應是相關部門應該秉承的監督圭臬,可是現實情況是制度缺失、人浮于事,監督機構設置如同虛設。
2.4計算機信息安全人才缺乏
高校現階段的信息安全人員多為其他崗位的兼職人員,而且非信息安全專業人才,通常是進入崗位后,根據職能需要,逐步學習,經過培訓而掌握了信息安全技術知識的人員。
3完善高校計算機信息安全管理的對此
3.1建立信息安全預防體系
改進高校的信息安全管理體系需要從全局出發,從基礎做起,然后逐步完善。要有條理、有策略、有方法,不能冒進,也不能半途而廢。因此,要建立長效的信息安全預防體系,必須出臺切實可行的運行機制和控制手段,逐一落實,使企業的安全信息管理體系形成良性、螺旋上升的改進形式。
3.2建立信息安全預防管理控制手段
(1)注重管理策略和規程;(2)加強技術控制。
3.3建立信息安全預防管理運行機制
3.3.1組建相關的組織機構建立其專門的安全監管部,負責為高校的網絡與信息安全突發事件的監測、預警和應急處理工作提供技術支持,并參與重要的判研、事件調查和總結評估。3.3.2建立應急響應機制即當安全監管部門發現安全問題,及時向相關部門通報提請注意,然后將安全問題定級,提出預警等級建議,向有關領導報審。接到上級領導反饋后技術部門采取有效措施啟動應急預案。當預警問題解決后,向上級請示,解除預警。事后形成事件調查和風險評估總結,呈報領導。
3.4提高信息監管人員的素質
首先物色合適的人選,根據崗位工作性質,經過嚴格的考察和科學的論證,找出或培訓所需的人員。選聘過程嚴格可控,然后把具備不同素質、能力和特長的人分別安排人員配備齊整。培訓之后上崗,從而使個崗位上的人充分履行自己的職責,最終促進組織結構功能的有效發揮。在人員到崗后,也要經常抽查崗位員工的工作技能和態度,測試和培訓崗位需求,經常組織人員學習先進的信息技術和前沿項目。
4結論
信息安全管理時一個動態發展的過程,信息技術日新月異,信息安全管理策略就要隨之動態調整。信息安全管理體系的規劃、設計和實施流程也要根據實際運作的情況不斷調整和該井。完備的計算機信息安全管理體系可以使高校信息資產安全得到有效的保障,將高校信息安全風險控制到最低。
參考文獻
[1]張文雷.談高校信息技術的網絡安全[J].信息與電腦(理論版),2014(06).
[2]湯贊.淺談我國網絡安全對高校信息技術的影響[J].科技與創新,2016(02).
[3]黃瑞.高校信息化建設進程中信息安全問題成因及對策探析[J].現代教育技術,2014(03).
[4]王延明.高校信息安全風險分析與保障策略研究[J].情報科學,2014(07).
一、面臨的挑戰
目前,金融業的業務開展更加依賴于信息技術的應用,特別是以綜合業務系統整合、數據集中為主要特征的金融業信息化發展到一個新的階段。因而,信息技術風險也自然成為中國金融機構操作風險的重要方面。金融業信息安全工作正面臨比以往更嚴峻的形勢,圍繞信息網絡空間的斗爭日趨尖銳,境內外網絡違法犯罪活動呈快速遞增趨勢,惡意代碼和網絡攻擊呈多樣化局面,金融業信息系統安全運行的難度加大,挑戰增多。
一是人民銀行的業務指導、監督管理滯后于金融業信息化發展。
與金融業信息化的高速發展相比,金融業信息安全的指導、監管工作還需要進一步加強。國內曾有專家明確提出,在金融信息化、網絡化時代,“信息資產風險監管是現代金融監管體系的核心理念。”信息資產風險指在信息化中,信息資產的規劃、設計、開發、生成、存在、運用、服務、管理、維護、監管以及其他相關過程中產生的信用、市場、操作與業務風險。人民銀行在金融信息規劃、信息標準、信息安全等諸多方面承擔著重要職責,在2008奧運年中發揮了重要、積極的作用。但總體來看,人民銀行及其分支行對金融機構信息安全工作的指導和監管,還處于初級階段,由于人民銀行分支機構對各金融機構信息安全缺乏指導、缺乏統一的監管目標、缺乏完整的認識,以及缺乏監督管理的依據和標準,從而導致監管措施不到位,監管手段缺失,致使基層行監管缺乏主動性。
二是核心設備和技術依賴于國外,底層技術難以掌握,存在安全隱患。
目前,我國金融業信息系統和網絡中,大量使用國外廠商生產的設備,這些設備使用的操作系統、數據庫、芯片也大多數是由國外廠商生產。外方不可能提供設備的核心技術和專利,我方很難判斷設備是否存在“后門”、“軟件陷阱”、“系統漏洞”、“軟件炸彈”等安全漏洞。據調查,一些重要網絡系統中使用的信息技術產品,都不可避免地存在一定的安全漏洞。這些漏洞可能是開發過程中有意預留,也可能是無意疏忽造成的。特殊情況下,特定安全漏洞可能被利用實施人侵,修改或破壞設備程序,或從設備中竊取機密數據和信息。前一階段國外炒作的IC卡安全問題以及近年來出現的微軟“黑屏事件”,已經為我們敲響了警鐘。
三是境內外網絡違法犯罪活動呈快速遞增趨勢,新技術的應用使我們面臨更大的挑戰。
金融業信息網絡和重要信息系統正成為敵對勢力、不法分子進行攻擊、破壞和恐怖活動的重點目標。金融業信息系統已經遭受到多次攻擊,整體信息安全形勢嚴峻。2009年國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵人,其中銀行、金融和證券機構是攻擊重點。
2005年6月18日,被稱為有史以來最嚴重的信息安全案件在美國爆發,萬事達、VISA和美國運通公司的主要服務商的數據處理中心網絡被黑客程序侵人,導致4000萬個賬戶信息被黑客截獲,使客戶資金處于十分危險的狀態。
由此可見,基于開放性網絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰。
四是數據大集中的同時,也使技術風險相對集中。
伴隨著數據大集中的實現,風險也相對集中.一旦數據中心發生災難,將導致金融業的所有分支機構、營業網點和全部的業務處理停頓,或造成客戶重要數據的丟失,其后果不堪設想。
近年來,國內外金融機構因為信息技術系統故障導致大面積、較長時問業務中斷的事件時有發生。2006年,日本花旗銀行出現交易系統故障,5天內約27.5萬筆公用事業繳費遭重復扣劃或交易后未作月結記錄,造成該行的重大聲譽損失。
信息系統潛在的風險已引起金融業的高度重視,如何保障后數據大集中時代金融業信息系統安全穩定運行,是需要整個金融業深入研究的課題。
五是我國金融業的災難處理能力有待加強。
據人民銀行在2009年對21家全國性商業銀行災備中心建設情況的調查顯示,僅有3家建立了同城和異地災備中心,9家建立了同城災備中心,6家建立了異地災備中心,尚有3家沒有建立災備中心。返觀國外同業.多數國外銀行已經做到了分行一級的災難備份與恢復。這表明,我國金融業災備中心建設同國外相比存在較大差距。
此外,國內金融機構的現有災難備份中心布局不合理,過度集中在北京、上海兩地,一旦發生區域性重大災難,將對我國金融業整體運行狀況帶來極大危害,并造成過高的重建成本。
二、應對措施
按照《國務院辦公廳關于印發中國人民銀行主要職責內設機構和人員編制規定的通知》(新“三定”方案) 規定,人民銀行的主要職責之一是組織制定金融業信息化發展規劃,負責金融標準化的組織管理協調工作,指導金融業信息安全工作。
在新形勢下如何指導和協調金融業信息化建設和信息安全,是人民銀行尤其是人民銀行分支機構需要認真思考的問題。
金融業信息系統的安全是防范和化解金融風險的重要組成部分,要依靠法律、管理機制、技術保障等多方面相互配合,形成一個完整的安全保障體系。
一是加強金融服務指導和行業監管。
應建立跨部門的金融業信息安全協調機制以及重點時期的安保工作機制,強化信息安全手段和隊伍建設,加強信息安全檢測和準人制度,實施信息安全等級保護,建立信息資產風險評估體系,提高信息安全水平,保證金融穩定和經濟發展。
人民銀行分支機構應加強對中小金融機構的服務指導,尤其是在核心業務系統建設、災備建設和信息安全方面給予具體指導,幫助中小金融機構借鑒成功經驗,規避風險,實現跨越式發展。
各級人民銀行,應牽頭成立金融業信息安全領導小組,并建立和完善信息安全通報制度、報告制度和聯席會議制度,建立健全一個運轉靈活、反應靈敏的信息安全應急處理協調機制,隨時處置和協調金融機構安全事件,以迅速應對突發事件的發生,降低或消除金融機構網絡和主要信息系統因出現重大事件造成的損失。
二是研究建立跨部門的現代化金融業信息安全管理網絡。真正實現對金融機構信息安全風險的及時、動態、全面、連續的監管。
在正確評估我國金融網絡現狀的基礎上,借鑒國外的組網模式,盡快建立適應我國金融業信息化建設和發展實際的高速、安全和先進的網絡框架,在建設時要充分考慮到網絡的兼容性和拓展性,為下一步與各金融業的網絡互聯做準備。同時促進各家金融機構完善內控機制,保障運行安全。現代金融業高度依賴信息技術,必須充分認識到金融業信息安全對整體業務和金融體系,乃至經濟體系的影響,牢固樹立風險防范意識,把信息科技作為風險管理的重要手段。
三是人民銀行要協調督促金融機構,加強自主創新,加大對國產軟硬件采購力度,努力減少和降低一些關鍵領域的對外技術依賴。
對采購或使用的信息技術和產品,能自主的就要千方百計地推進自主,不能自主的,也須保證其可知可控,也就是說,要對信息技術產品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術”。
對須引進的,實行市場準人制度,并引進權威機構對其產品進行風險、安全、實用等綜合性評估。
對各地區一些科技水平還比較低的中小金融機構,要加大支持力度,加強行業內部的交流合作。針對目前金融業,特別是中小金融機構的信息系統的開發、建設和運維采用IT外包的形式,應出臺相應的政策、制度和措施,促進IT外包健康快速發展,約定監管機制,規范服務商的服務標準和流程,使IT外包以服務行為的公司化、強大的配套支持能力、靈活的外包服務方式成為金融機構快速發展的可行之道。
四是建立健全信息安全管理制度,定期進行信息安全檢查,加強網絡安全攻擊防范。
由于金融業的組織結構和業務運營方式,使網絡必定要建成一個同Internet和外部線路有較密切關系的結構,各種網絡訪問上的安全問題也隨之產生。金融網絡系統面臨的攻擊有來自內部的,也有來自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等,特別是在網絡上運行關鍵業務時,網絡安全問題更是要優先解決的問題。因此,應通過建立健全信息安全制度、定期組織信息安全非現場和現場檢查等方式,促進銀行做好系統加固工作,充分利用各種安全產品強化網絡安全防范,加強移動存儲介質管理,做好安全日志分析、預警和監測工作,防止植入木馬導致信息泄漏和來自內部的安全威脅。
五是增加業務持續動作能力,切實采取措施防范數據處理集中后的技術風險。
巴塞爾銀行業監管委員會共同論壇2006年8月了《業務連續性高級原則》將業務連續性管理定義為,發生中斷事件時,確保某些業務保持運行或在短時間內得到恢復的一整套辦法,包括政策、標準和程序。
業務連續性管理的實施在組織上的保證至關重要。人民銀行應指導金融業參照國外先進經驗,專門成立業務連續性管理指導委員會,將業務部門、風險管理部門和IT部門有關業務連續性的管理職責融于一處統籌管理。
目前,國內銀行災難備份和業務連續性管理主要集中在系統故障、人員操作、機房維護和短時間電力中斷等情況。在防范自然災害、重大疫情和恐怖襲擊等方面的應對管理還需加強。一是要強涮“突發”與“應急”。由于災害事件的不確定性,應急管理與保障工作必須建立在高強度的實戰性基礎上,使災難應急管理真正適應“應急”的要求。二是要擴大應急預案本身的覆蓋范圍。我國金融業災難備份及業務連續性管理主要集中在IT部門,遠遠不能適應業務連續性的需要,應當強調業務部門的參與,與IT部門共同構建適應現代金融業發展需要的應急保障體系,確保運營安全。
三、結束語
