时间:2023-09-17 15:04:18
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全运营体系建设方案,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:电信;网络安全;技术防护
从20世纪90年代至今,我国电信行业取得了跨越式发展,电信固定网和移动网的规模均居世界第一,网络的技术水平也居世界前列。电信已经深入到人类生活的方方面面,和日常生活的结合越来越紧密。电信网的安全状况直接影响这些基础设施的正常运行。加强电信网络的安全防护工作,是一项重要的工作。笔者结合工作实际,就电信网络安全及防护工作做了一些思考。
1 电信网络安全及其现状
狭义的电信网络安全是指电信网络本身的安全性,按照网络对象的不同包括了PSTN网络的安全、IP/Internet网络安全、传输网络安全、电信运营商内部网络安全等几个方面;广义的网络安全是包括了网络本身安全这个基本层面,在这个基础上还有信息安全和业务安全的层面,几个层面结合在一起才能够为用户提供一个整体的安全体验。
电信运营商都比较重视网络安全的建设,针对网络特点、业务特点建立了系统的网络安全保障体系。我国电信的网络安全保障体系建设起步较早。2000年,原中国电信意识到网络安全的重要性,并专门成立了相关的网络安全管理部门,着力建立中国电信自己的网络安全保障体系。安全保障体系分为管理体系和技术体系。在管理体系中,包括组织体系、策略体系和保障的机制,依据组织保障策略引导、保障机制支撑的原则。随着网络规模的不断扩大和业务的突飞猛进,单靠纯粹的管理和应急相应很难完成有关网络安全方面的工作。为此,建立了网络安全基础支撑的平台,也就是SOC平台,形成了手段保障、技术保障和完备的技术管理体系,以完成中国电信互联网的安全保障工作。这个系统通过几个模块协同工作,来完成对网络安全事件的监控,完成对网络安全工作处理过程中的支撑,还包括垃圾邮件独立处理的支持系统。
然而,网络安全是相对的。网络开放互联、设备引进、新技术引入、自然灾害和突发事件的存在等,造成了网络的脆弱性。当电信网络由封闭的、基于电路交换的系统向基于开放、IP数据业务转型中,安全问题更加暴露。从狭义的网络安全层面看,随着攻击技术的发展,网络攻击工具的获得越来越容易,对网络发起攻击变得容易;而运营商网络分布越来越广泛,这种分布式的网络从管理上也容易产生漏洞,容易被攻击。从广义的网络安全层面看,业务欺诈、垃圾邮件、违法违规的SP行为等,也是威胁网络安全的因素。
2 电信网络安全面临的形势及问题
2.1 互联网与电信网的融合,给电信网带来新的安全威胁
传统电信网的业务网和支撑网是分离的。用户信息仅在业务网中传送,信令网、网管网等支撑网与业务网隔离,完全由运营商控制,电信用户无法进入。这种机制有效地避免了电信用户非法进入网络控制系统,保障了网络安全。IP电话引入后,需要与传统电信网互联互通,电信网的信令网不再独立于业务网。IP电话的实现建立在TCP/IP协议基础上,TCP/IP协议面临的所有安全问题都有可能引入传统电信网。IP电话的主叫用户号码不在IP包中传送,一旦出现不法行为,无论是运营商还是执法机关,确认这些用户的身份需要费一番周折,加大了打击难度。
2.2 新技术、新业务的引入,给电信网的安全保障带来不确定因素
NGN的引入,彻底打破了电信网根据不同业务网分别建设、分别管理的传统思路。NGN的引入给运营商带来的好处是显而易见的,但从网络安全方面看,如果采取的措施不当,NGN的引入可能会增加网络的复杂性和不可控性。此外,3G、WMiAX、IPTV等新技术、新业务的引入,都有可能给电信网的安全带来不确定因素。特别是随着宽带接入的普及,用户向网络侧发送信息的能力大大增强,每一个用户都有能力对网络发起威力较大的拒绝服务等攻击。如果这些宽带被非法控制,组成僵尸网络群,其拒绝服务攻击的破坏力将可能十分巨大。
2.3 运营商之间网络规划、建设缺乏协调配合,网络出现重大事故时难以迅速恢复
目前,我国电信领域基本形成了有效的竞争格局。但由于改革的配套措施还不尽完备,电信市场多运营商条件下的监管措施还不配套,给电信网络安全带来了新的威胁。如在网络规划建设方面,原来由行业主管部门对电信网络进行统一规划、统一建设,现在由各运营企业承担各自网络的规划、建设,行业主管部门在这方面的监管力度明显弱化。一旦出现大面积的网络瘫痪问题,不同运营商之间的网络能否互相支援配合就存在问题。
2.4 相关法规尚不完善,落实保障措施缺乏力度
当前我国《电信法》还没有出台,《信息安全法》还处于研究过程中,与网络安全相关的法律法规还不完备,且缺乏操作性。在规范电信运营企业安全保障建设方面,也缺乏法律依据。运营企业为了在竞争中占据有利地位,更多地关注网络建设、业务开发、市场份额和投资回报,把经济效益放在首位,网络安全相关的建设、运行维护管理等相对滞后。
3 电信网络安全防护的对策思考
强化电信网络安全,应做到主动防护与被动监控、全面防护与重点防护相结合,着重考虑以下几方面。
3.1 发散性的技术方案设计思路
在采用电信行业安全解决方案时,首先需要对关键资源进行定位,然后以关键资源为基点,按照发散性的思路进行安全分析和保护,并将方案的目的确定为电信网络系统建立一个统一规范的安全系统,使其具有统一的业务处理和管理流程、统一的接口、统一的协议以及统一的数据格式的规范。
3.2 网络层安全解决方案
网络层安全要基于以下几点考虑:控制不同的访问者对网络和设备的访问;划分并隔离不同安全域;防止内部访问者对无权访问区域的访问和误操作。可以按照网络区域安全级别把网络划分成两大安全区域,即关键服务器区域和外部接入网络区域,在这两大区域之间需要进行安全隔离。同时,应结合网络系统的安全防护和监控需要,与实际应用环境、工作业务流程以及机构组织形式进行密切结合,在系统中建立一个完善的安全体系,包括企业级的网络实时监控、入侵检测和防御,系统访问控制,网络入侵行为取证等,形成综合的和全面的端到端安全管理解决方案,从而大大加强系统的总体可控性。
3.3 网络层方案配置
在电信网络系统核心网段应该利用一台专用的安全工作站安装入侵检测产品,将工作站直接连接到主干交换机的监控端口(SPANPort),用以监控局域网内各网段间的数据包,并可在关键网段内配置含多个网卡并分别连接到多个子网的入侵检测工作站进行相应的监测。
3.4 主机、操作系统、数据库配置方案
由于电信行业的网络系统基于Intranet体系结构,兼呈局域网和广域网的特性,是一个充分利用了Intranet技术、范围覆盖广的分布式计算机网络,它面临的安全性威胁来自于方方面面。每一个需要保护的关键服务器上都应部署核心防护产品进行防范,并在中央安全管理平台上部署中央管理控制台,对全部的核心防护产品进行中央管理。
3.5 系统、数据库漏洞扫描
系统和数据库的漏洞扫描对电信行业这样的大型网络而言,具有重要的意义。充分利用已有的扫描工具完成这方面的工作,可免去专门购买其他的系统/数据库漏洞扫描工具。
参考文献
关键词信息安全;PKI;CA;VPN
1引言
随着计算机网络的出现和互联网的飞速发展,企业基于网络的计算机应用也在迅速增加,基于网络信息系统给企业的经营管理带来了更大的经济效益,但随之而来的安全问题也在困扰着用户,在2003年后,木马、蠕虫的传播使企业的信息安全状况进一步恶化。这都对企业信息安全提出了更高的要求。
随着信息化技术的飞速发展,许多有远见的企业都认识到依托先进的IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力,使企业在残酷的竞争环境中脱颖而出。面对这瞬息万变的市场,企业就面临着如何提高自身核心竞争力的问题,而其内部的管理问题、效率问题、考核问题、信息传递问题、信息安全问题等,又时刻在制约着自己,企业采用PKI技术来解决这些问题已经成为当前众多企业提高自身竞争力的重要手段。
在下面的描述中,以某公司为例进行说明。
2信息系统现状2.1信息化整体状况
1)计算机网络
某公司现有计算机500余台,通过内部网相互连接,根据公司统一规划,通过防火墙与外网互联。在内部网络中,各计算机在同一网段,通过交换机连接。
图1
2)应用系统
经过多年的积累,某公司的计算机应用已基本覆盖了经营管理的各个环节,包括各种应用系统和办公自动化系统。随着计算机网络的进一步完善,计算机应用也由数据分散的应用模式转变为数据日益集中的模式。
2.2信息安全现状
为保障计算机网络的安全,某公司实施了计算机网络安全项目,基于当时对信息安全的认识和安全产品的状况,信息安全的主要内容是网络安全,部署了防火墙、防病毒服务器等网络安全产品,极大地提升了公司计算机网络的安全性,这些产品在此后防范网络攻击事件、冲击波等网络病毒攻击以及网络和桌面日常保障等方面发挥了很大的作用。
3风险与需求分析3.1风险分析
通过对我们信息系统现状的分析,可得出如下结论:
(1)经营管理对计算机应用系统的依赖性增强,计算机应用系统对网络的依赖性增强。计算机网络规模不断扩大,网络结构日益复杂。计算机网络和计算机应用系统的正常运行对网络安全提出了更高的要求。
(2)计算机应用系统涉及越来越多的企业关键数据,这些数据大多集中在公司总部数据中心,因此有必要加强各计算机应用系统的用户管理和身份的认证,加强对数据的备份,并运用技术手段,提高数据的机密性、完整性和可用性。
通过对现有的信息安全体系的分析,也可以看出:随着计算机技术的发展、安全威胁种类的增加,某公司的信息安全无论在总体构成、信息安全产品的功能和性能上都存在一定的缺陷,具体表现在:
(1)系统性不强,安全防护仅限于网络安全,系统、应用和数据的安全存在较大的风险。
目前实施的安全方案是基于当时的认识进行的,主要工作集中于网络安全,对于系统和应用的安全防范缺乏技术和管理手段。如缺乏有效的身份认证,对服务器、网络设备和应用系统的访问都停留在用户名/密码的简单认证阶段,很容易被冒充;又如数据备份缺乏整体方案和制度规范,容易造成重要数据的丢失和泄露。
当时的网络安全的基本是一种外部网络安全的概念,是基于这样一种信任模型的,即网络内部的用户都是可信的。在这种信任模型下,假设所有可能的对信息安全造成威胁的攻击者都来自于组织外部,并且是通过网络从外部使用各种攻击手段进入内部网络信息系统的。
针对外部网络安全,人们提出了内部网络安全的概念,它基于这样一种信任模型:所有的用户都是不可信的。在这种信任模型中,假设所有用户都可能对信息安全造成威胁,并且可以各种更加方便的手段对信息安全造成威胁,比如内部人员可以直接对重要的服务器进行操控从而破坏信息,或者从内部网络访问服务器,下载重要的信息并盗取出去。内部网络安全的这种信任模型更符合现实的状况。
美国联邦调查局(FBI)和计算机安全机构(CSI)等权威机构的研究也证明了这一点:超过80%的信息安全隐患是来自组织内部,这些隐患直接导致了信息被内部人员所窃取和破坏。
信息系统的安全防范是一个动态过程,某公司缺乏相关的规章制度、技术规范,也没有选用有关的安全服务。不能充分发挥安全产品的效能。
(2)原有的网络安全产品在功能和性能上都不能适应新的形势,存在一定的网络安全隐患,产品亟待升级。
已购买的网络安全产品中,有不少在功能和性能上都不能满足进一步提高信息安全的要求。如为进一步提高全网的安全性,拟对系统的互联网出口进行严格限制,原有的防火墙将成为企业内网和公网之间的瓶颈。同时病毒的防范、新的攻击手段也对防火墙提出了更多的功能上的要求,现有的防火墙不具备这些功能。
网络信息系统的安全建设建立在风险评估的基础上,这是信息化建设的内在要求,系统主管部门和运营、应用单位都必须做好本系统的信息安全风险评估工作。只有在建设的初期,在规划的过程中,就运用风险评估、风险管理的手段,用户才可以避免重复建设和投资的浪费。
3.2需求分析
如前所述,某公司信息系统存在较大的风险,信息安全的需求主要体现在如下几点:
(1)某公司信息系统不仅需要安全可靠的计算机网络,也需要做好系统、应用、数据各方面的安全防护。为此,要加强安全防护的整体布局,扩大安全防护的覆盖面,增加新的安全防护手段。
(2)网络规模的扩大和复杂性的增加,以及新的攻击手段的不断出现,使某公司计算机网络安全面临更大的挑战,原有的产品进行升级或重新部署。
(3)信息安全工作日益增强的重要性和复杂性对安全管理提出了更高的要求,为此要加快规章制度和技术规范的建设,使安全防范的各项工作都能够有序、规范地进行。
(4)信息安全防范是一个动态循环的过程,如何利用专业公司的安全服务,做好事前、事中和事后的各项防范工作,应对不断出现的各种安全威胁,也是某公司面临的重要课题。
4设计原则
安全体系建设应按照“统一规划、统筹安排、统一标准、分步实施”的原则进行,避免重复投入、重复建设,充分考虑整体和局部的利益。
4.1标准化原则
本方案参照信息安全方面的国家法规与标准和公司内部已经执行或正在起草标准及规定,使安全技术体系的建设达到标准化、规范化的要求,为拓展、升级和集中统一打好基础。
4.2系统化原则
信息安全是一个复杂的系统工程,从信息系统的各层次、安全防范的各阶段全面地进行考虑,既注重技术的实现,又要加大管理的力度,以形成系统化的解决方案。
4.3规避风险原则
安全技术体系的建设涉及网络、系统、应用等方方面面,任何改造、添加甚至移动,都可能影响现有网络的畅通或在用系统的连续、稳定运行,这是安全技术体系建设必须面对的最大风险。本规划特别考虑规避运行风险问题,在规划与应用系统衔接的基础安全措施时,优先保证透明化,从提供通用安全基础服务的要求出发,设计并实现安全系统与应用系统的平滑连接。
4.4保护投资原则
由于信息安全理论与技术发展的历史原因和自身的资金能力,某公司分期、分批建设了一些整体的或区域的安全技术系统,配置了相应的设施。因此,本方案依据保护信息安全投资效益的基本原则,在合理规划、建设新的安全子系统或投入新的安全设施的同时,对现有安全系统采取了完善、整合的办法,以使其纳入总体安全技术体系,发挥更好的效能,而不是排斥或抛弃。
4.5多重保护原则
任何安全措施都不是绝对安全的,都可能被攻破。但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
4.6分步实施原则
由于某公司应用扩展范围广阔,随着网络规模的扩大及应用的增加,系统脆弱性也会不断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性,寻求安全、风险、开销的平衡,采取“统一规划、分步实施”的原则。即可满足某公司安全的基本需求,亦可节省费用开支。
5设计思路及安全产品的选择和部署
信息安全防范应做整体的考虑,全面覆盖信息系统的各层次,针对网络、系统、应用、数据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程,事前、事中和事后的技术手段应当完备,安全管理应贯穿安全防范活动的始终,如图2所示。
图2网络与信息安全防范体系模型
信息安全又是相对的,需要在风险、安全和投入之间做出平衡,通过对某公司信息化和信息安全现状的分析,对现有的信息安全产品和解决方案的调查,通过与计算机专业公司接触,初步确定了本次安全项目的内容。通过本次安全项目的实施,基本建成较完整的信息安全防范体系。
5.1网络安全基础设施
证书认证系统无论是企业内部的信息网络还是外部的网络平台,都必须建立在一个安全可信的网络之上。目前,解决这些安全问题的最佳方案当数应用PKI/CA数字认证服务。PKI(PublicKeyInfrastructure,公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障,向用户提供完整的PKI/CA数字认证服务。通过建设证书认证中心系统,建立一个完善的网络安全认证平台,能够通过这个安全平台实现以下目标:
身份认证(Authentication):确认通信双方的身份,要求通信双方的身份不能被假冒或伪装,在此体系中通过数字证书来确认对方的身份。
数据的机密性(Confidentiality):对敏感信息进行加密,确保信息不被泄露,在此体系中利用数字证书加密来完成。
数据的完整性(Integrity):确保通信信息不被破坏(截断或篡改),通过哈希函数和数字签名来完成。
不可抵赖性(Non-Repudiation):防止通信对方否认自己的行为,确保通信方对自己的行为承认和负责,通过数字签名来完成,数字签名可作为法律证据。
5.2边界防护和网络的隔离
VPN(VirtualPrivateNetwork)虚拟专用网,是将物理分布在不同地点的网络通过公用骨干网(如Internet)连接而成的逻辑上的虚拟专用网。和传统的物理方式相比,具有降低成本及维护费用、易于扩展、数据传输的高安全性。
通过安装部署VPN系统,可以为企业构建虚拟专用网络提供了一整套安全的解决方案。它利用开放性网络作为信息传输的媒体,通过加密、认证、封装以及密钥交换技术在公网上开辟一条隧道,使得合法的用户可以安全的访问企业的私有数据,用以代替专线方式,实现移动用户、远程LAN的安全连接。
集成的防火墙功能模块采用了状态检测的包过滤技术,可以对多种网络对象进行有效地访问监控,为网络提供高效、稳定地安全保护。
集中的安全策略管理可以对整个VPN网络的安全策略进行集中管理和配置。
5.3安全电子邮件
电子邮件是Internet上出现最早的应用之一。随着网络的快速发展,电子邮件的使用日益广泛,成为人们交流的重要工具,大量的敏感信息随之在网络上传播。然而由于网络的开放性和邮件协议自身的缺点,电子邮件存在着很大的安全隐患。
目前广泛应用的电子邮件客户端软件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions),它是从PEM(PrivacyEnhancedMail)和MIME(Internet邮件的附件标准)发展而来的。首先,它的认证机制依赖于层次结构的证书认证机构,所有下一级的组织和个人的证书由上一级的组织负责认证,而最上一级的组织(根证书)之间相互认证,整个信任关系基本是树状的。其次,S/MIME将信件内容加密签名后作为特殊的附件传送。保证了信件内容的安全性。
5.4桌面安全防护
对企业信息安全的威胁不仅来自企业网络外部,大量的安全威胁来自企业内部。很早之前安全界就有数据显示,近80%的网络安全事件,是来自于企业内部。同时,由于是内部人员所为,这样的安全犯罪往往目的明确,如针对企业机密和专利信息的窃取、财务欺骗等,因此,对于企业的威胁更为严重。对于桌面微机的管理和监控是减少和消除内部威胁的有效手段。
桌面安全系统把电子签章、文件加密应用和安全登录以及相应的智能卡管理工具集成到一起,形成一个整体,是针对客户端安全的整体解决方案。
1)电子签章系统
利用非对称密钥体系保证了文档的完整性和不可抵赖性。采用组件技术,可以无缝嵌入OFFICE系统,用户可以在编辑文档后对文档进行签章,或是打开文档时验证文档的完整性和查看文档的作者。
2)安全登录系统
安全登录系统提供了对系统和网络登录的身份认证。使用后,只有具有指定智能密码钥匙的人才可以登录计算机和网络。用户如果需要离开计算机,只需拔出智能密码钥匙,即可锁定计算机。
3)文件加密系统
文件加密应用系统保证了数据的安全存储。由于密钥保存在智能密码钥匙中,加密算法采用国际标准安全算法或国家密码管理机构指定安全算法,从而保证了存储数据的安全性。
5.5身份认证
身份认证是指计算机及网络系统确认操作者身份的过程。基于PKI的身份认证方式是近几年发展起来的一种方便、安全的身份认证技术。它采用软硬件相结合、一次一密的强双因子认证模式,很好地解决了安全性与易用性之间的矛盾。USBKey是一种USB接口的硬件设备,它内置单片机或智能卡芯片,可以存储用户的密钥或数字证书,利用USBKey内置的密码算法实现对用户身份的认证。
基于PKI的USBKey的解决方案不仅可以提供身份认证的功能,还可构建用户集中管理与认证系统、应用安全组件、客户端安全组件和证书管理系统通过一定的层次关系和逻辑联系构成的综合性安全技术体系,从而实现上述身份认证、授权与访问控制、安全审计、数据的机密性、完整性、抗抵赖性的总体要求。
6方案的组织与实施方式
网络与信息安全防范体系流程主要由三大部分组成:攻击前的防范、攻击过程中的防范和攻击后的应对。安全管理贯穿全流程如图3所示。网络与信息安全防范体系模型流程不仅描述了安全防范的动态过程,也为本方案的实施提供了借鉴。
图3
因此在本方案的组织和实施中,除了工程的实施外,还应重视以下各项工作:
(1)在初步进行风险分析基础上,方案实施方应进行进一步的风险评估,明确需求所在,务求有的放矢,确保技术方案的针对性和投资的回报。
(2)把应急响应和事故恢复作为技术方案的一部分,必要时可借助专业公司的安全服务,提高应对重大安全事件的能力。
(3)该方案投资大,覆盖范围广,根据实际情况,可采取分地区、分阶段实施的方式。
(4)在方案实施的同时,加强规章制度、技术规范的建设,使信息安全的日常工作进一步制度化、规范化。
7结论
本文以某公司为例,分析了网络安全现状,指出目前存在的风险,随后提出了一整套完整的解决方案,涵盖了各个方面,从技术手段的改进,到规章制度的完善;从单机系统的安全加固,到整体网络的安全管理。本方案从技术手段上、从可操作性上都易于实现、易于部署,为众多行业提供了网络安全解决手段。
也希望通过本方案的实施,可以建立较完善的信息安全体系,有效地防范信息系统来自各方面的攻击和威胁,把风险降到最低水平。
保旺达,关注数据,保障未来。
江苏保旺达软件技术有限公司始创于2002年,具有十多年的深厚积淀,始终专注于计算机信息安全领域的体系建设、服务交付和产品提供,成就了保旺达在中国信息安全行业的领先地位。
2016年2月,保旺达与上市公司通鼎互联达成战略合作伙伴关系,这意味着保旺达将拥有更为宽广的视野和舞台,以及更加强劲的动力和保障。
保旺达在董事长钟丹东的带领下,以建设中国自主的信息安全体系为目标,以实现中国国家安全大业为伟大使命,专注于国内领先的信息安全领域,为客户提供软件研发、系统集成、技术服务等全方位的解决方案与服务,是中国计算机信息安全领域领先的体系设计者、服务交付者和产品供应者。
保旺达作为国内最早从事信息安全产品研发、销售、集成的企业之一,已通过ISO9001质量管理体系、ISO27001信息安全管理体系、CMMI3级认证和ITSS贰级认证,荣获“江苏省软件企业”称号,还是江苏省信息产业厅首批信息安全风险评估服务机构、江苏省公安厅等级保护服务机构、江苏省规划布局内重点软件企业,具有国家计算机信息系统集成贰级资质、国家信息安全服务一级资质和信息系统集成乙级资质。
保旺达坚持“始于客户要求,终于客户满意”,凭借丰富的项目管理经验和完善的产品解决方案,先后在华北、华东、华南、华中、西南、西北等区域的多个省市成立办事处和技术支持中心,业务网络遍及全国。
保旺达与中国联通、中国移动、中国电信等电信运营商建立稳定的合作关系,提供安全运维服务,并参与和主导了三大电信运营商信息安全体系的设计和规范编写工作。同时,保旺达还为政府部门和军工企业提供信息专项集成服务。
保旺达依托专业的研发力量和强大的人才优势,成功研发出网络信息交换系统、统一运维管理系统、打印刻录安全监控审计系统、敏感数据扩散跟踪地图等50多项软件产品,形成网络安全、系统安全、应用安全、数据安全、云应用安全五大产品体系,多个产品通过中国质量认证中心、国家保密科技测评中心和公安部网络安全保卫局的产品检测,多个产品获得计算机软件著作权和软件产品登记证书。保旺达承担的科研项目多次获得国家专项资金扶持,获评国家和省市级奖项,为各大运营商和政企业客户建立可信可靠的安全管理体系。
人才是现代企业永续发展的第一动力。保旺达在发展过程中,一贯坚持 “尊重、爱护、培养、发展”的用人育才方针,通过科学完善的绩效和薪酬管理体系,致力于为人才提供优厚的福利待遇和卓越的个人发展平台。保旺达拥有一支年轻、专业的技术团队,博士学历和硕士学历的员工占10%,拥有本科学历的员工占80%。
为跟踪技术潮流,实现自主创新、积蓄后劲,保旺达长期与南京大学、东南大学等多所知名高校进行产学研合作,并委托培养和外派培养了大量信息安全领域的专家人才,抢占信息安全技术的制高点。
2015年,Jeep切诺基Uconnect 车载系统漏洞就曾被曝出,攻击者通过漏洞能远程控制汽车娱乐系统、制动甚至油门等功能,对高速行驶中的汽车驾驶者而言,这是生死攸关的安全问题。该事件导致克莱斯勒不得不在美国召回140万辆汽车,并对其车载软件进行升级。
车联网信息安全隐患已非个案。国家层面也在积极推动、探索汽车行业与信息安全交叉领域的安全规范及标准建设。2016年11月正式出台的《中华人民共和国网络安全法》明确要求网络运营者(车厂、车联网运营者)应“采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性”。
这意味着国家层面已经意识、关注并不断推动车联网信息安全的防御体系建设,通过加合国世界车辆法规协调论坛(简称WP29),积极参与联合国汽车信息安全法律法规的起草、修订工作。作为中国受邀单位,东软集团也由网络安全事业部物联网研发中心主任陈静相作为代表,出席于今年3月1日在美国召开的ISO和SAE联合工作组第二次会议。
汽车安全防护意识抬头
目前,汽车行业ISO标准体系已明确汽车功能安全规范,但并未做强制性推行。2016年,WP29就着手拟定汽车信息安全相关草案,计划将其作为一个国际交通系统必须遵守的强制性法律法规推出。
“东软之所以能作为中方代表参与其中,是因为我们在汽车电子行业以及安全领域有了近20年的积累。在将安全与车联网相关联并量产的实际能力方面东软有一定优势。”东软集团副总裁兼网络安全事业部总经理杨纪文表示,他们是想通过自身的一些积累,在推动汽车安全领域无论是国内标准还是国际标准的过程中贡献力量。
WP29推国际交通系统强制性法规,这对国内企业触动极大,同时也将影响智能网联汽车、无人驾驶汽车未来的市场格局。作为中方代表参与WP29国际法规建设,尤其是联合国汽车信息安全标准建设的具体工作,陈静相也坦诚压力。
“一方面,国内车厂此前在汽车信息安全方面普遍没有太多涉猎和积累,而我们参与提案的内容对现有产业格局会产生影响,势必会有阻力,这是难点一;另一方面,在汽车信息安全技术维度,欧洲主导加密技术,美国更注重整个管理流程、周期上的安全规范,东软如何代表国内汽车行业群体,把握好技术的主导方向,同时也要考虑将区域市场中的一些技术需求反映到国际汽车组织中,这是难点二。”
由东软集团股份有限公司、公安部第三研究所、长安集团、中国电子科技集团公司第十五研究所、中国信息安全认证中心、中国软件测评中心、恩智浦(中国)、长安汽车股份有限公司、奇瑞汽车股份有限公司等共同组成的车载信息安全产业联盟(Automotive Cybersecurity Industry Alliance,缩写:ACIA)2016年正式在京成立,该联盟正式对外了《车载信息安全技术标准白皮书》。东软集团也同期了国内首款车载信息安全产品――东软S-Car整体解决方案。
而东软也一直积极与国内各个车厂进行沟通,希望借此打消国内汽车厂商对现阶段的测试部署是否符合未砉际标准的顾虑,并希望凭借自身的努力,在真正的汽车安全行业标准落地后,保证前期介入制定的各项标准能够切实为汽车厂商提供应用支撑、提升安全防护。
深耕车载信息安全
陈静相介绍说,车载信息安全分为终端安全和网络安全两部分,与传统安全有着巨大差异。“这是一条更艰难的道路。”陈静相表示,“车载信息安全系统对车辆的操作性、实时性要求非常高,其所涉及到的技术难度是从量变到质变的过程。”例如,车载信息系统在加入安全元素之后,在流量的传输上也将带来更大成本,同时,车载信息安全系统需要做双向认证,在车辆每次断网再连网时,需要再做一次安全部署。而车载实时操作系统内存非常有限,传统的算法在其上无法直接运行,这一切无疑都是一个巨大挑战。
而汽车行业对设备的性能也有着异常严苛的要求。陈静相举例说明,宝马汽车在测试一款即将在欧洲车型上装配的收音机部件时,甚至派出工程师坐着样车环绕欧洲开了好几圈,测试收音机在不同地区不同频段是否会出现细微吱吱声,并随时记录以便改进。
对此,东软选择的技术路线是由内而外,通过在汽车底层网络中构建、部署汽车智能信息安全系统的方式来提升整个车联网系统的安全防御能力。
陈静相将东软在汽车安全领域的“事业”形象地比喻为一个与苹果手机iOS系统紧密结合的安全模块,这个模块可以从底层真正解决用户的安全问题,其重要性不言而喻。
关键词:商业银行 网络安全 网络风险
1 城市商业银行网络安全建设现状
银行的信息与网络安全建设与银行的整个电子化、信息化和网络化密切相关,把金融风险监管现代化和金融电子化、信息化和网络化风险的监管密切结合起来,是搞好银行与阿络安全建设的根本思路。目前城市商业银行信息化安全的观念对于网络与系统的虚拟世界的“行为与内容的监管”和“大范围的网络环境的安全问题”,考虑较少。
1.1银行网络行为和内容的安全情况
银行网络的安全问题实际是银行风险监管的问题,银行风险监管既要检查银行和客户人员在现实世界中的人与银行业务相关的行为结果,又要检查网络虚拟世界中用户、系统和的行为,实际上要对银行监管实行监管现代化的建设和银行信息化实行监管。
1.2银行业务运营信息化安全情况
主要涉及银行价值管理信息系统、资源管理信息系统、银行产品服务管理信息系统等。对于这些业务信息系统,由于银行系统有高度的安全意识银行系统的安全工作开展的较早,制定了相关的标准和规范,进行了安全规划与实施等。
1.3银行网络系统安全情况
当前银行网络系统安全问题重要表现在数据大集中后的安全,其特点是数据服务大集中,前置通信中心强大的和众多本地与远端终端的中心体系结构。
应该看到,电子化在给银行带来利益的同时,也给银行带来了新的安全问题。原因主要有三个:伴随金融体制改革的深入、对外开放的扩大,金融风险迅速增大;当前计算机应用日益广泛、日趋网络化,系统的安全性漏洞也随之增加;计算机知识日益普及,金融网络向国际化发展,计算机犯罪技术在不断提高。
2 银行网络安全重点关注的方面
目前银行用户关注的信息化安全问题主要是客户隐私、用户权益、信息内容安全和客户可信接入银行网等问题:
全面整合银行信息化安全建设,在此基础上建立银行信息安全保障、应急和监管系统。
以安全观点再度审核银行应用数据大集中的安全建设问题、专网与公网的隔离安全建设、银行外包服务安全建设、安全检测、监控、审计、追踪和定位系统建设、制定安全应急标准与安全应急培训。
3 安全风险分析
我们可以参考国际标准化组织ISO开放系统互联(OSI)模型,将整个银行系统的安全风险统一划分成五个层次,即物理层安全、网络层安全、操作系统层安全、应用层安全以及管理层安全。
3.1物理层安全风险分析。物理层安全包括通信线路的安全,物理设备的安全,机房的安全等。
3.2网络层安全风险分析。网络层安全包括网络层身份认证,网络资源的访问控制,数据传输的保密和完整性,远程接入的安全,路由系统的安全等。
a数据传输风险分析。表现在重要业务数据泄漏、重要数据被破坏等,如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取
b网络边界风险分析。主要表现于银行业务系统安全和互联网出口的安全。
c网络设备的安全风险。由于银行专用网络系统中使用大量的网络设备,如交换机、路由器等,使得这些设备的自身安全性也会直接关系的银行系统和各种网络应用的正常运转。
3.3系统层的安全风险。主要表现在两方面:一是操作系统本身的安全漏洞和隐患;二是对操作系统的错误配置。
3.4应用层安全风险分析。应用层安全是用户采用的应用软件和数据库的安全性,包括数据库软件、Web服务、电子邮件系统、域名服务系统、业务应用软件,以及其他网络服务系统(如Telnet、FTP等)。
3.5管理层安全风险分析
管理层安全包括安全技术和设备的管理,安全管理制度的制定,部门和人员的组织规划等。要建立完备的安全网络最终要靠人来实现,因此管理是整个网络安全中最为重要的一环。因此我们有必要认真的分析管理所带来的安全风险,并采取相应的安全措施。
4 安全方案总体设计
4.1网络安全建设原则
网络安全建设是一个系统工程,银行网络安全体系建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,采用先进的“平台化”建设思想,避免重复投入、建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在实际实施中还要按照系列基本原则进行:系统性原则;简单性原则;实时、连续、安全统一原则;需求、风险、代价平衡原则;实用与先进相互结合的原则;方便与安全相互统一原则;全面防护、突出重点原则;分层、分区原则;整体规划、分布实施原则;责任明确,分级管理,联合防护原则。
4.2网络安全建设目标
我们对于银行网络系统安全建设的目标为:采用防护、检测、反应、恢复四方面行之有效的安全措施,建立一个全方位并易于管理的安全体系,确保银行网络系统安全可靠的运行
a系统级安全目标。保证操作系统、数据库管理系统的安全补丁不断升级、安全设置正确,防止计算机终端、服务器感染通过软盘、光盘、网络、电子邮件及其它网络途径传播的计算机病毒。
b网络级安全目标。保证内外网之间、内部网不同网络安全域之间的安全隔离和有效的访问控制,保证系统业务敏感信息网络传输中的机密性、完整性,保证网络攻击和网络安全漏洞及时发现、告警,网络安全状况不断改善,以及保证银行网络系统网络传输系统的高可靠性:主要指线路、设备的备份、冗余等。
c应用级别安全目标。防止本地用户和远程用户的非授权访问、越权访问和身份假冒,保证各种服务系统的正常运转。
d管理级安全目标。对安全软硬件设备(如防杀病毒软件、入侵检测软件、安全MPN设备、防火墙设备)和安全策略、安全状况能够集中统一管理、监控、审计和响应,保证安全责任分解到人、出现问题有迹可寻,加强管理制度和管理体系建设。
4.3整体安全设计概述
整体安全设计要最大限度保障业务系统、办公系统的安全,做到安全性和方便性的统一。
a数据库服务器是业务系统中最重要的数据库部分,它保存了所有业务交易相关的各种帐务数据,因此必须对它们实行有限访问控制防护——配置双机热备防火墙系统。
b由于办公机器众多、员工的安全防范意识较差,需要与互联网接入,又要直接接入OA办公、决策等系统,因此,办公机器应受到高度关注。
c由于网络中设备、主机数量众多,应此使用日志审计系统收集全网中的安全设备、服务器的日志,进行归档、分析,及时发现系统中发生的安全时间,起到事后审计的安全机制。
兴安盟地处东北,人口不多,辖2个县级市、1个县、3个旗。该盟电子政务建设从资金来源、架构、信息服务等几个方面颇有特色,以电子政务和兴安盟政府门户网站为抓手,90%的联网机关开通局域网,全年无障碍率达到300天,并注重服务功能,值得学习。
按照着力打造发展型、效能型、服务型政府的要求,兴安盟将进一步深化职能定位,转变工作作风,创新工作方法,以电子政务和兴安盟政府门户网站为抓手,积极协调推进电子政务建设,努力提高信息化应用水平。
统一网络平台
近年来,兴安盟在财政紧张的情况下共投入信息化建设资金800多万元,主要用于电子政务平台建设、行政审批服务中心网络平台建设、信息资源开发、线路租用、应用系统软件的开发和购买、计算机配备等。
兴安盟坚持以市场机制为基础,实现电子政务投资多元化,吸引非政府机构参与电子政务建设,确保电子政务顺利发展。在确保政务安全的前提下,通过合理方式授权企业参与筹资、建设、运营和管理,减轻了政府部门预算压力,确保了政府网站运行的资金来源。
按照自治区信息化总体规划和部署,兴安盟积极努力推进信息化基础设施建设,充分调动网通公司、移动公司、广电等网络运营商积极性,扎实推进兴安盟信息化基础设施建设,规划和筹备了盟级电子政务平台、行政审批服务中心网络平台、民生工程等一批信息化基础设施建设项目,促使兴安盟信息化基础设施建设有了质的飞跃。
兴安盟基本建成了盟级电子政务网络平台和行政审批服务中心网络平台,各旗县市政府、盟农牧场管理局、盟直各部门及部分区直机关已经接入,并全部建立了内部局域网。同时为各旗县市政府配备了高端路由器,为盟直财政拨款单位配备了三层交换机,盟到各旗县市、盟直各部门的光纤已经全部开通,线路租赁费全部由盟里负责,为全盟推进信息化创造了条件。同时,兴安盟初步完成了由防火墙、网闸、网站监测、互联网安全审计等网络安全设备组成的网络安全体系建设,确保了电子政务网络平台的安全稳定。
结合政府信息公开目录及“百件实事”网上办的有关要求,兴安盟对门户网站进行了全新改版。目前,兴安盟电子政务综合门户网站已经成为宣传兴安盟的窗口,对外招商引资,合作交流的信息枢纽。
在移动数据网络建设方面,基于短信方式的企业短信平台也在兴安盟大力推广,政府、企业、服务业等企事业单位均有应用,效果显著。目前,中心城区、城关镇、重点地区均已具备光纤入户能力;无线网络已经形成对兴安盟点、线、面的立体覆盖,基本实现了对城区内所有人口的90%以上覆盖,对主要会场、酒店、商务中心、购物中心实现了室内覆盖,对乡镇实现了92%覆盖,对行政村实现了85%的覆盖,互联网络带宽和无线通讯质量得到了大幅提升。
根据政策法规结合实际,兴安盟印发了《兴安盟电子政务外网管理(暂行)办法》,加强各地、各部门电子政务外网的计算机网络安全工作管理,督促强化计算机网络应用安全意识,及时排除网络安全隐患。全盟政务专网稳定程度明显提高,全年无障碍率达到300天以上。对门户网站进行了重新改版,增强了服务功能,完善了“政务公开”、“百件实事网上办”、“政府信息公开”、“应急管理”等栏目的内容。加大了网站动态新闻的日常更新与维护。对全盟重要会议、盟委行署重点工作及重大决策进行了及时报道。
转向服务
按照自治区电子政务三级“王”型网络建设要求,盟级电子政务基础网络平台已搭建,以此为依托,电子政务应用逐步展开。盟政务门户网站陆续建设完成了32个(80多个)子网站,形成了具有兴安盟特色的外网门户网站群,政务信息公开程度得到一定的提高。
兴安盟建成了以盟行署综合政务门户网站为主站,以盟四大班子、80多个盟直部门、各旗县市门户网站为子站的政府门户网站群。政务网络平台建设日臻完善,信息资源开发利用步伐加快。截止2010年底已建成连接自治区统一电子政务外网的骨干传输网络,实现了盟委、人大、政府、政协、旗县区及市直部门局域网的互联互通,80个单位接入盟本级电子政务城域网,48个部门建成内部局域网,6个旗县区、40个委办局通过互联网政务信息,21个部门建有数据库,20多个部门采取信息安全措施,联网部门中90%以上的部门已建立了内部局域网,并根据各自业务要求不同程度的开展网上应用。
盟四大班子办公自动化系统为无纸化办公、实现了四大班子到各旗县市和盟直部门之间的公文流转无纸化奠定了基础,盟级视频会议系统、公务员电子邮件系统、网上视频点播系统等政务部门公共应用系统也已建成。
兴安盟定期维护电子政务平台,确保接入单位与自治区传输通道畅通,采取有效措施,完成业务系统与自治区顺利对接,进一步完善了盟本级电子政务网络平台技术方案及硬件方案,实现自治区―盟市―旗县电子政务三级网络互联互通。此外,以“金关”、“金卡”、“金税”、“金盾”为代表的重大信息化应用工程稳步推进;以“中国・兴安盟”政府门户网站为核心的政府网站体系不断完善;行政审批全程办事试点工作积极推进,跨部门的一站式电子化公共服务稳步展开。
政府网站服务功能增强,政府信息公开及时准确,政府门户网站每日访问量达万次。政府网站除确保已有信息的及时准确外,随时更新盟委、盟行署各类信息,及时采集、整合信息资源,切实满足百姓需求。
网站开展了行风政风网上评议、双拥模范测评、干部述职述廉、汉语言文字评估等网上互动交流和调查工作,提高了群众的参政议政工作水平。强化了盟行署网站的社会服务功能,为推进盟行署有关部门专项工作开展创造了良好的舆论氛围。
链接
二、认真组织,取得成效。中心利用三个月的时间,完成了学习动员、查摆问题和研究整改三个阶段的活动,取得了明显的成效。共学习讨论12次,写学习笔记两万余字,写体会文章20余篇,征求到各服务对象及本中心人员对信息中心工作六大类共36条意见和建议。通过认真研究讨论,形成针对六大类问题的整改措施,为今后中心的发展指明了方向。通过内部学习交流,每个人都认真查找了自身存在的问题和差距,坚定了不断提高自己的决心,明确了自己今后的奋斗方向。
三、查改集合,学以治用
我中心重点负责全局的网络及监控体系建设工作,过去习惯于按部就班式地完成任务。通过学家提高了认识,增强了主动服务,积极创新的意识。结合整改在几项重点工作中主动谋划,大胆创新,使解放思想大讨论见到了实效。
1、针对我局网络不稳定的问题,主动征求了各部门的意见,多方面查找好的网络设备,走访了国家环保总局、省环保局及我市信息化建设好的单位,集各地的网络功能及设备优势,制订了我局网络改造方案,经专家论证后,组织实施。在较短的时间内,使我局网络运行状况得到了较大的改观。
2、挖掘潜力,发挥资源优势,完善我局局域网平台建设。通过解放思想大讨论,增强了主动服务意识。中心广集思路进一步完善了局域网综合办公平台内容,并在全局大平台的基础上,增设了各科室的网站专页,方便了领导对各科室工作的及时了解和掌握。
3、针对群众反映的烤火期烟囱冒黑烟问题,中心主动利用先进的烟气黑度自动监控系统,开始全天候对市区范围内的烟囱进行监控扫描,将监控到的不合格烟囱拍照后交稽查大队处理,并在环保在线曝光。
4、春节期间,为确保在线监控系统的正常稳定运行,保证我市环境安全,中心10人全部昼夜轮流值班,一方面保证监控网络的正常运行,另一方面随时监控重点企业的排污情况,做到有异常及时发现,避免污染事故的产生。
四、针对问题,主动谋划
通过大讨论,中心对内部工作进行了认真的梳理,认真分析了我局信息化建设及信息中心内部存在的主要问题,表现在:一是网络覆盖能力不能完全满足信息传输与资源共享的需要,现有环境信息传输网络仅限于局内部及局与前端监测设备的联接,随着环境管理应用需求的不断增加,环境数据实时传输、信息资源共享的要求越来越高,网络的覆盖范围、传输速度和稳定性等需要不断加强和提高。二是环境数据尚未得到全面有效开发和共享,多年环境管理工作积累了大量的基础数据,但这些数据库的采集、传输、加工、存储和应用比较分散,缺少规范化,珍贵的环境数据尚未全面转化为可用的信息资源。三是环境管理核心业务信息化程度有待提高,许多核心业务数据库和应用软件有待开发。四是信息化更新维护人员业务水平欠缺,缺少系统建成后的全面培训和信息化技术的更新培训。五是环境信息化安全意识有待加强,在当前国家十分重视网络安全的形势下,我局缺少专业的网络安全管理人员。六是环境信息化管理制度亟待加强,目前尚未严格的网上内容更新制度要求和明确的奖罚措施。
针对问题,提出了20*年信息中心工作的思路
1、在项目筹划和管理制度方面,按照统一规划、资源整合、信息共享的原则筹划信息化建设项目,按照统一管理、分块负责的原则,制定严格的网络管理及网上内容维护制度,为办公自动化奠定基础。
2、在管理机构和队伍建设方面,加强我局信息化机构和队伍建设,成立由局各部门组织的信息化管理机构,成立网络安全管理小组及电子政务领导小组,统一领导、规划和管理我局网络安全及电子政府信息化工作。
3、在基础网络和硬件建设方面,建设我市环保系统的环境信息广域网络系统,通过建立虚拟专网的方式实现市局与区县环境局的环境信息广域网络联接。支持召开视频会议。
4、在政府门户网站和内部办公平台建设方面,做好市政府门户网站“中国*”网及我局环境信息外网的维护工作,进一步更新完善外网结构和内容。以应用系统高度集成为特色,全面完成我局电子政务综合办公平台的建设任务,增加网上公开内容,扩大环境信息网上公开指数,提高为公众服务的效率。
5、在业务系统建设和应用方面,针对排污申报、排污收费、建设项目审批、环境应急管理等方面工作需要,组织开发一批业务应用系统,促进我局环境保护工作的规范化管理,提高我局行政管理效率。同时,根据我市特殊的地理位置,组织实施三维地理信息系统、环境应急系统等先进应用系统的建设,为我市建设项目规划及环境安全提供技术支持。
6、在环境信息与统计能力建设方面,国家安排专项资金支持污染减排指标、监测、考核“三大体系”能力建设,信息能力建设是基础和关键,其重要内容就是加强环境信息的采集、传输、储存、分析和应用等方面的能力。20*年重点抓好环境基础数据库建设,建立和完善环保系统信息交换平台及环境数据中心,提高环境信息资源共享程度和利用水平。
7、在环境宣传和为公众服务方面,以政府门户网站为依托,进一步完善公众参与、在线办事功能,为公众提供“一站式”环境信息服务,全面公开污染减排等有关环境保护的政策和工作进展。针对污染减排等热点环保问题,制作专题栏目,做好专题宣传。同时,加强网上互动,开展网上访谈,宣传政策,解答疑问,让更多的社会公众了解、关心、支持污染减排及其它重点环境保护内容。
8、在网络安全和保密方面。积极应用数据加密、身份认证、访问控制、安全检测、数据备份等技术,保证网络环境下用户身份的可靠性,增强系统的安全性,建立可信任网络体系。同时,建立并执行完善的安全管理制度,构筑全方位多层次安全体系,为环境信息化的健康有序发展提供坚实的保障。
9、在知识更新和人员培训方面,根据环境信息化发展的当前和长远需要,制定人才发展规划,通过内部培养、委托培养、外聘专家等多种形式建设结构合理的人才梯队。重视人员知识的更新,在环保系统普及信息化技术和意识。
课题研究主要内容包括智慧信息化整体架构特征、安全框架,安全保障管理要求、技术要求及保障机制等。
概述
智慧信息化整体架构与主要特征
智慧信息化整体架构模型主要包括物联感知层,网络通信层,计算与存储层,数据及服务支撑层,智慧应用层,安全保障体系,运维管理体系,建设质量管理体系等。具有开放性、移动化、集中化、协同化、高渗透等主要特征。
智慧信息系统安全风险分析
根据智慧信息化特征,结合信息安全体系层次模式,逐层分析智慧信息化带来新的安全风险。
物理屏障层,主要包括场地门禁、设备监控、警卫等。移动性特点带来物理介质的安全新风险。移动设备和智能终端自身防御能力弱、数量大、分布散、采用无线连接、缺少有效监控等带来的风险。
安全技术层,主要包括防火墙、防病毒、过滤等安全技术。云计算、物联网、移动互联网等技术的开放性、协同性等特征带来的安全新风险。
管理制度层,主要包括信息安全人事、操作和设备等。智慧信息化环境下信息资源高度集中、服务外包等新模式带来的管理制度上的新风险。
政策法规层,主要包括信息安全法律、规章和政策等。对各类海量数据整合、共享和智能化的挖掘利用等深度开发带来的信息管理政策法规上的新风险。
安全素养层,主要包括民众信息安全意识、方法、经验等。智慧信息化带来威胁快速传播、波及范围倍增扩大的风险,信息安全威胁的主体发生转换,社会公众的高度参与,用户、技术与管理人员的安全意识和素养带来的风险比传统系统更大。
智慧信息系统安全框架
智慧信息系统安全框架如图2所示。管理终端和其他经过认证授权的可信终端作为智慧信息系统可信组成部分,需要进行边界防护,防止越权访问,互联网用户等非可信组成部分,要采取安全隔离措施,使其只能访问受限资源,防止内部数据非法流出。对数据区域、物联网感知区域、物联网控制区域以及基础设施的管理区域进行严格的安全域划分,针对不同的安全域实施安全产品的监测、防护、审计等不同的安全策略以保护数据安全,再配合同步进行的体系建设、安全培训等安全服务措施,实现智慧信息系统的深度防御。
管理要求
安全保障规划。信息化主管部门负责智慧信息化发展总体安全保障规划,各相关领域主管部门负责专项领域安全保障规划。确定安全目标,提出与业务战略相一致的安全总体方针及方案。
安全保障需求分析。项目单位分析系统的安全保护等级并通过论证、审核、备案;根据安全目标,分析系统运行环境、潜在威胁、资产重要性、脆弱性等,找出现有安全保护水平的差距,提出安全保障需求。
安全保障设计。项目单位根据系统总体安全方案中要求的安全策略、安全技术体系结构、安全措施和要求落实到产品功能、物理形态和具体规范上。并形成指导安全实施的指导性文件。
安全保障实施。建立安全管理职能部门,通过岗位设置、授权分工及资源配备,为系统安全实施提供组织保障。对项目质量、进度和变更等进行全过程管控及评估。
安全检测验收。系统运行前进行安全审查,关注系统的安全控制、权限设置等的正确性、连贯性、完整性、可审计性和及时性等。上线进行安全测试和评估,包括安全符合性查验,软件代码安全测试,漏洞扫描,系统渗透性测试等,确保系统安全性。
运维安全保障。建立系统安全管理行为规范和操作规程,包括机房安全管理制度,资产安全管理制度,介质安全管理制度,网络安全管理制度,个人桌面终端安全管理制度等并严格按照制度监督执行。
优化与持续改进。在系统运行一段时间或重大结构调整后进行评估,对系统各项风险控制是否恰当,能否实现预定目标提出改进建议。
技术要求
计算环境安全要求
服务器、网络设备、安全设备、终端及机房安全、操作系统、数据库管理系统应遵循GB/T 22239-2008对应安全保护等级中相关安全控制项要求,并对重要设备的安全配置和安全状态等进行严格的监控与检测。
网络虚拟化资源池应支持基于虚拟化实例的独立的安全管理。多租户环境下,租户之间的网络支持虚拟化安全隔离,各个租户可以同时对自身的安全资源进行管理。
应提供以密码技术为前提的安全接入服务,保证终端能够选择加密通信方式安全接入云计算平台。
通信网络安全要求
对应安全保护等级中网络安全控制项要求,覆盖结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等控制项要求。
虚拟网络资源间的访问,应实施网络逻辑隔离并提供访问控制手段。从区域边界访问控制、包过滤、安全审计及完整性保护等方面保护虚拟边界安全。
智慧网络应具备网络接入认证能力,确保可信授权终端接入网络。采取数据加密、信道加密等措施加强无线网络及其他信道的安全,防止敏感数据泄漏,保证传输数据完整性。
终端安全要求
对应安全保护等级中终端安全及GAT671-2006的安全控制项要求,覆盖物理安全、身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、资源控制等内容。
建设统一的终端安全管理体系,规范终端的各类访问、操作及使用行为,确保接入终端的安全合规、可管理、可控制、可审计。在重要终端中嵌入带有密码性安全子系统的终端芯片。
应用安全要求
满足对应安全保护等级中应用安全控制项要求,覆盖身份鉴别、访问控制、安全控制、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等内容。
进行可信执行保护,构建从操作系统到上层应用的信任链,实现可执行程序的完整性检验,防范恶意代码等攻击,并在受破坏时恢复。建立统一帐号、认证授权和审计系统,实现访问可溯。
遵循安全最小化原则,关闭未使用服务组件和端口;加强内存管理,防止驻留剩余信息被非授权获取;加强安全加固,对补丁与现有系统的兼容性进行测试;限制匿名用户的访问权限,支持设置用户并发连接次数、连接超时限制等,采用最小授权原则。
数据安全要求
满足对应安全保护等级中数据安全控制项要求,覆盖数据完整性、数据保密性、备份与恢复等内容。
将信息部署或迁移到云计算平台之前,明确信息类型及安全属性进行分类分级,对不同类别信息采取不同保护措施,重点防范用户越权访问、篡改敏感信息。
在多租户云计算环境下,通过物理隔离、虚拟化和应用支持多租户架构等实现不同租户之间数据和配置安全隔离,保证每个租户数据安全隐私。确保法律监管部门要求的数据可被找回。
虚拟存储系统应支持按照数据安全级别建立容错和容灾机制,防止数据损失;建立灾备中心,保证数据副本存储在合同法规允许的位置。
全面有效定位云计算数据、擦除/销毁数据,并保证数据已被完全消除或使其无法恢复。
密码技术要求
物理要求。在系统平台基础设施方面使用密码技术。
网络要求。在安全访问路径、访问控制和身份鉴别方面使用密码技术。
主机要求。在身份鉴别、访问控制、审计记录等方面使用密码技术。
应用要求。在身份鉴别、访问控制、审计记录和通信安全方面应当使用密码技术。
数据要求。在数据传输安全、数据存储安全和安全通信协议方面使用密码技术。
安全域划分与管理研究
智慧信息系统安全域可以分为安全计算域、安全用户域、安全网络域。
安全计算域:由一个或多个主机/服务器经局域网连接组成的存储和处理数据信息的区域,是需要进行相同安全保护的主机/服务器的集合。安全计算域可以细分为核心计算域和安全支撑域。
安全用户域:由一个或多个用户终端计算机组成的存储、处理和使用数据信息的区域。
安全网络域:支撑安全域的网络设备和网络拓扑,防护重点是保障网络性能和进行各子域的安全隔离与边界防护。连接安全计算域和安全计算域、安全计算域和安全用户域之间的网络系统组成的区域。安全网络域可以进一步细分为感知网接入域、互联网接入域、外联网接入域、内联网接入域、备份网络接入域。
安全管理平台技术要求
对安全事件进行集中收集、高度聚合存储及分析,实时监控全网安全状况,并可根据需求提供各种网络安全状况审计报告。
智慧监测。针对大数据,通过预警平台对流量监测分析,为管理者提前预警,避免安全事件扩大化;监听无线数据包,进行网络边界控制,对智慧信息系统内部网络实施安全保护。
智慧审计。通过运维审计与风险控制系统对系统运维人员的集中账号和访问通道管控;通过数据库审计系统对数据库访问流量进行数据报文字段级解析操作,应对来自运维人员或外部入侵的数据威胁;通过综合日志审计系统实现对违规行为监控,追踪非法操作的直接证据,推动监测防护策略、管理措施的提升,实现信息安全闭环管理;针对应用层的实时审计、监测及自动防护。
智慧日志分析。对海量原始日志,按照策略进行过滤归并,减轻日志数据传输存储压力。对来自各资源日志信息,提供多维关联分析功能,包括基于源、目的、协议、端口、攻击类型等多种统计项目报表。多租户环境支持,支持虚拟化实例,能够区分不同租户的日志以及为不同租户提供统计报表。
智慧协同。根据开放性及应急响应技术要求,安全管理平台需考虑和周边系统互联互通,支持开放的API,相互传递有价值安全信息,以进行协同联动。
除了以上八个技术方面的要求外,智慧信息化安全保障体系还对安全产品、产品安全接口等方面也做出了相关要求。
保障机制
建立责任人体制。建设单位指定信息安全保障第一责任人,明确各环节主体责任,制定安全保障岗位责任制度,并监督落实。
建立追溯查证体系。建立全流程追溯查证体系,对存在的违法入侵进行有效取证,保证证据数据不被改变和删除。参照ISO/IEC 27037:2012、ISO/IEC27042。
建立监督检查机制。由信息安全监管部门,通过备案、检查、督促整改等方式,对建设项目的信息安全保护工作进行指导监督。
建立应急处理机制。参照GB/Z 20986-2007将安全事件依次进行分级,按照分级情况制定应急预案,定期对应急预案进行演练。
建立服务外包安全责任机制。安全服务商的选择符合国家有关规定,确保提供服务的数据中心、云计算服务平台等设在境内。
建立风险评估测评机制。对总体规划、设计方案等的合理性和正确性以及安全控制的有效性进行评估。委托符合条件的风险评估服务机构,对重要信息系统检查评估。定期对系统进行安全自查与测评。
1加强安全管理,助力企业转型
在国际信息安全环境日趋恶劣,国家全面倡导信息安全的大环境下,为了确保信息安全工作的可持续性开展及业务信息系统的稳定运行,依据集团总部《关于建立集团公司网络与信息安全组织保障体系的通知》、鄂通信局发[2013]127号《关于进一步落实基础电信企业网络与信息安全责任考核及有关工作的意见》等相关文件精神,同时参考《GA/T708-2007信息安全技术-信息系统安全等级保护体系框架》、《GB/T22239-2008信息安全技术-信息系统安全等级保护基本要求》《GB/T20269-2006信息安全技术-信息系统安全管理要求》、《GB/T0984-2007信息安全技术-信息安全风险评估规范》等国家标准,制定了《信息安全管理办法》、《信息安全策略》、《安全保障框架》及《安全保障基线规范》规范等,率先在企业内建立并实施该体系,全面倡导企业向信息安全生产经营转型,同时积极引导合作伙伴树立信息安全意识,规范自身的生产及合作行为,明确安全风险责任、细化管理要求,立足自身,兼顾第三方,共同打造信息安全的绿色长城,确保企业长足健康发展。通过该安全管理体系的实施,从中全面深入地挖掘现有安全体系的不足之处,并针对现有业务系统中的各类安全隐患制定了有效的整改方案并予以实施、预警,确保了移动互联网业务的可持续性发展及业务信息系统的稳定运行。首先,组织完成企业的自有业务信息系统和合作业务信息系统的安全等级划分工作,将平台安全管理工作落实到具体的责任人,并签署责任状,从而树立全员安全责任意识,实现人人参与安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技术对业务信息系统进行安全扫描、安全审计,并应用HIVE、Waka、PIG、Mahout等工具对海量日志、数据进行分析和审核,发现相关漏洞与脆弱点,并针对自有及合作业务信息系统编写了整改建议和系统层面的加固方案。通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击39处,合作业务信息系统存在各类安全漏洞14处,目前这些漏洞已经全部整改与加固完毕,消除了安全隐患。其次,以信息安全管理为导向,组建了由电信营运商、合作伙伴、专业公司三方共同构成的一支业务信息系统安全管理团队,通过从合作业务管理规范的建立到合作伙伴安全技能培训,从信息安全制度宣贯到系统安全处罚办法的落实执行,从系统安全的定期评估到系统漏洞的及时加固等一系列举措,最终创建一套业务信息系统全新的安全管理模型,提高业务信息系统运行质量和服务能力,提升创新业务品牌形象。从安全管理模型启用至今,未发生一起信息安全事故,这样强化了合作伙伴的信息安全概念,督促合作伙伴在发展业务的同时也重点关注信息安全问题,极大地降低了由于合作系统的信息安全漏洞导致的中病毒或木马、假冒网站、账号或密码被盗、个人信息泄露等客户信息安全事件的发生概率,此类原因造成创新业务投诉比率和往年相比降低了15%,改变了用户对创新业务的固有印象,建立了良好的创新业务服务品牌形象。此模型具备良好的可复制性,可指导通信领域运营企业开展信息安全工作。在全国率先打造这套移动互联网业务安全管理体系,包含一系列业务系统信息安全管理办法、信息安全策略、安全保障框架、安全保障基线规范等相关业务系统管理制度及规范,业务系统安全管理体系的先进性和时效性在通信行业内名列前茅,同时通过近两年的安全理论研究和安全评估加固实践,针对当前企业业务平台系统在信息安全监管中面临的一些问题,对当前主流关联分析技术进行研究的基础上,提出了一种新的安全事件关联分析技术。该技术涉及到多源数据预处理、报警聚合、关联分析、大数据分析和安全状况态势评估等相关技术。此技术运用到电信行业的信息安全监管上,就能够对监控设备收集的日志及安全设备产生的告警进行关联分析和挖掘,从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,通过对此类信息的统计、浓缩、总结、关联和分类,抽象出利于进行判断和比较的特征库,并智能地学习和维护其特征库,从而在提高安全事件报警准确率的情况下保证极高的识别效率。同时该安全管理体系成功应用到与百度公司合作开发的爱奇艺视频业务系统、与腾讯科技公司联合开发的微信平台、与奇虎科技公司共同开发的安全卫士手机应用系统,得到部分在美国纳斯达克上市的中国互联网精英公司的高度认可和赞许,并表示今后与电信运营商共同开发产品都依照此安全管理规范和体系,确保产品的各项安全性能指标。
2创新点
为顺应移动互联网时代,运营商从基础通信运营向流量运营转型的新趋势,湖北移动确定了“业务转型,安全先行”的发展思路,坚持“以安全保发展、以发展促安全”。在已有的网络与信息安全管理办法的基础上,积极开展适应移动互联网时代安全管理体系建设,不断推进科学的安全管理方法,做到六“注重”六“突出”,即:(1)注重整体规划,突出体系建设,促进职责高效履行。制定下发安全标准化管理与评价体系建设计划,内容涵盖安全工作方针目标、安全目标、各方职责、安全管理体系和模式、安全设施和机房环境保护设施标准、安全文明操作保证金、安全考核与奖惩、过程的主要控制措施、应急准备和响应等方面。严格按计划有序开展体系建设工作;严格按体系文件要求开展业务或系统试运行工作;加强保证与监督体系的建设。(2)注重文化建设,突出信息安全特色,促进习惯养成。以人为本,加强企业安全文化建设,促使安全文化落地,提高员工安全与风险防范意识。(3)注重教育培训,突出行业特色,达到安全管理效果。通过多种渠道、形式多样的安全教育和培训方式,组织各单位安全管理人员开展安全教育和培训工作:一是安排专家和行业资深人士进行专题讲座;二是在专题培训的基础上,做好网络与信息安全专项工作如何开展的培训。(4)注重设备管理,突出针对特色,实现安全管理精细化。首先,网络设备较多,加强网络安全管理提高设备安全可靠性是首要任务,为此各维护单位对每台设备均建立了安全技术台帐,台帐包括运行记录、检查保养记录和定期检验记录。其次,组织精干力量先后两次对所有设备、流程、机房进行全面的安全评估工作。第三,使隐患排查整改形成机制。(5)注重安全投入,突出专用特色,合理使用安全生产费用。认真落实安全管理费用投入长效机制,加大安全费用的管理,做到专款专用,确保安全生产费用规范化、合理化和足额投入。并加强安全生产保证金的管理,建立安全生产保证金并实行年底考核的机制,有效促进了安全管理工作。(6)注重应急预案,突出超前特色,安全管理赢在主动。在安全管理中,把预防工作落到实处,建立健全了应急处置机构,将应急处置工作进一步制度化,规范化,形成了完整的安全事故预防体系。同时,开展形式多样、符合实际的应急演练。
3结语
全新的移动互联网业务安全管理体系具备创新性、可复制性,对此领域企业具备示范和指导意义。目前已经被省公司相关专业部门采纳,计划结合信安部工作在全国范围内进行推广,同时在移动互联网行业领域,成为行业巨头制定与电信运营商合作开发产品的管理规范。此安全管理体系在企业应用范围涵盖的业务生产中,带来了巨大经济效益和社会效益,通过持续对自有及合作信息系统的检查,共发现自有业务信息系统存在各类安全漏洞攻击67处,合作业务信息系统存在各类安全漏洞30处,成功处理异常安全入侵26次,避免了平台业务收入的损失。
作者:彭敏 廖振松 单位:湖北移动政企分公司湖北移动网管中心
(讯)5月22日消息,今日下午,国内智能硬件厂商丁盯在北京了两款智能门锁丁盯密码锁和丁盯指纹锁,前者针对短租公寓和长租的业主商用领域,后者针对家用领域(分为“自在版”与“挚爱版”)。
丁盯智能门锁在设计上坚持极简风格,在功能上支持语音配置门锁,自动唤醒,密码授权记录查询,异常警报,忘关提醒,机器及人工安全防护,在后续还将加入出门天气提醒等诸多功能。商用版面向房东用户,主打手机密码开锁,支持业主远程密钥管理,并且可以精确到天。家用版面向家庭用户,功能更加全面,支持指纹开锁,同时还支持手机摇一摇开锁,还能识别开门动作是回家还是出门,未来还将谋求与智能家居产品实现联动。产品负责人称,丁盯门锁在后续还会加入声纹解锁、敲门开锁等更有趣的功能。
另外,丁盯CEO陈彬称,这两款产品还考虑了断网断电的极端情况。在家中没有网络(路由器故障、断电等)的情况下,丁盯智能门锁将会报警,另外将加入通信模块和备用电池,支持断电断网时利用SIM卡连接运营商网络。
同时,丁盯还面向门锁厂商了互联网智能门锁解决方案。包括门锁管理APP、SaaS管理平台。在日常生活中,用户可以通过手机APP实时查看门锁开关状态,包括锁上、反锁、暗锁等,随时了解情况。丁盯CEO陈彬介绍称,目前,国内门锁的智能化不超过5%,而很多机械门锁、电子门锁的企业都希望向互联网和智能门锁方向转型,为传统厂商免费提供通信模组及网关。
关于家用版安装交付以及后续付费方面,丁盯门锁会与服务商和商合作,让经验丰富的服务人员上门装配。但如果涉及大量的安装交付以及服务成本支出方面,丁盯门锁还有很长的路要走。
丁盯目前已经申请过20多项核心专利,其中2个已授权。并且与公寓、锁厂、智能家居厂商、百度安全、财务保险公司等达成了合作。百度云安全将帮助丁盯加强网络安全体系建设,提供安全防护体系技术支持。丁盯CEO陈彬表示,目前智能门锁领域无论硬件、软件、技术还是成本,缺乏统一的标准,丁盯希望能与其他智能家居厂商合作打造生态闭环,提供智能家居门锁接入标准,建立本地和云端设备互联互通标准、安全报警机制和规范等等。
价格方面,丁盯智能门锁的预计发货价格在1000-2000元,从整个门锁市场来看,定位偏中高端市场。(来源:网易科技)
[关键词]烟草 信息安全 CA
[中图分类号]F426.8 [文献标识码]A [文章编号]1672-5158(2013)06-0486-01
1 引言
烟草行业长期处于计划体制下,一直都受国家保护,实行专卖专营,因此整个队伍思想比较陈旧、观念比较保守。特别是大部分企业的领导对信息化的认识不够,造成了整个烟草行业信息化的建设明显落后于其它行业,与烟草行业的地位明显不符。
在正式加入世贸组织后,我国烟草与外国烟草的争夺终端市场的激烈竞争也不可避免,因此,我国烟草行业急需提高整体竞争力和实力。而提高竞争力和实力的最好,就是运用信息技术,走信息化的道路来整合企业资源。
2 烟草行业信息安全现状
随着行业信息化建设的全面推进,传统的管理机制在改革与创新中逐渐消亡,人们在处理信息和日常办公中越来越依赖计算机和网络,机密与财富越来越集中在计算机系统和网络中。因此,行业各应用系统和计算机网络的安全可靠运行,面临着十分严峻的挑战,网络与信,息安全已成为行业信息化建设非常重要的问题。
我国对于烟草行业的信息安全工作启动较晚,但随着计算机的发展以及信息技术的发展,烟草行业也开始注重信息安全的工作。目前,烟草行业网络基础设施建设已具规模,实现了互联互通。行业地面通信骨干网已建成并全网投入运行,实现了国家局与行业各直属单位及所属卷烟厂、分公司、烟机厂和进出口口岸公司等69个节点之间的互联互通,入网率达到了100%;基本完成了行业各直属单位省域网建设,各直属单位与所属单位的联网率达到了96%;行业网络与信息安全体系初步形成,网络运行管理进一步加强。启动了烟草行业安全认证体系(CA)建设和烟草行业信息安全等级划分的研究工作。
行业信息化的制度建设逐步完善。近几年,行业先后出台了《全国烟草行业信息化工作管理办法》、《全国烟草行业信息化工作考核办法》、《烟草行业信息化建设统一技术平台要求》、《姻草行业信息化标准体系》和《烟草行业计算机网络和信息安全技术与管理规范》等重要文件,用制度规范了行业信息化管理工作。
3 烟草行业数字证书认证(CA)系统
CA认证体系作为烟草行业CA认证体系中重要的组成部分,将实现提供数字证书的注册、更新、作废等服务,为各类业务应用系统提供基于数字证书的身份认证等应用支撑服务,保证数据的完整性、保密性、可用性和操作的不可否认性,并能够将数字证书的发放与在业务应用系统中的使用情况进行记录、统计、上报等功能。
CA安全认证体系,实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准,构筑行业信息化安全机制,降低和消除各种信息安全隐患,确保信息传输与反馈畅通、及时和安全,为行业信息化建设保驾护航。
CA系统是烟草行业关键业务应用的安全基础,在设计实施CA系统及与应用对接的过程中,要排除脱离实际的安全需求、夸大的安全风险,在安全需求、安全风险和安全成本之间进行平衡和折衷。系统所选用的产品易于使用,符合烟草行业的统一技术规范,具有合理的美观的操作管理界面,方便操作员和用户操作使用。
各地方烟草企业要遵循PKI领域相关的国家和国际标准,遵循国家局的《烟草行业CAS认证体系建设方案》(国烟办综[2008]116号)建设CAS认证体系,按照产品选型参考确保和国家局已建CA(包括行业根CA和国家局CA)实现互信互认,做到平滑、无缝对接。
4 烟草行业信息安全建设实施策略
4.1 建设行业数据中心
数据集中是信息化发展的必然选择。统一的全国性数据中心,既可以改变传统的管理模式,又可以改变生产经营的运营模式,是管理理念、管理技术、管理水平的一次提升,可有效实现对业务的集约经营、集中监控和风险防范。
要建设好行业数据中心,就要在保证不同业务系统数据相对独立的基础上,建立数据交换和共享机制,通过对数据的加工、清洗、传递和交换,使得不同业务系统及时汇集相关的共享信息,实现行业公用数据的标准化、一致化,并不断更新和加强信息安全管理。逐步建立和完善数据分类描述、分析处理和传输交换等技术标准,以指导行业各级数据中心的建设。
要建设好行业数据中心,关键是要建成基于不同类型业务主题的高水平数据应用环境,统一数据标准,做到资源上协同应用,技术上协同关联,应用上协同共享,提高信息资源有效利用率。
4.2 严格执行相关标准
严格执行《烟草行业信息化标准体系》,加强行业信息化标准制定和贯标工作。标准化工作是一切工作规范化的基础,统一标准是烟草行业信息化建设的基础工作,是实现信息共享的基本前提。离开了标准化,计算机系统就无法体现其技术优势。因此,行业在信息化建设中必须高度重视并实施信息化管理相关的各种数据、指标和流程的标准化工作,要统一信息化建设标准,统一信息资源标准,统一数据传输标准。要按照行业的统一要求,逐步规范行业各方面信息化建设的基本业务流程、信息资源标准和数据交互机制,形成标准化体系框架。建设标准化体系要采取渐进方式,一是要先建立标准化框架,行业已《烟草行业信息化标准体系》;二是对急需的、重要的标准要优先制定。行业将制定烟叶类代码、烟草行业工商统计数据元、烟草行业统一会计科目及编码等标准规范;三是通过行业重点信息化工程项目的推广运行,完成相关标准化工作。做好代码标准化、接口标准化、业务流程规范化、数据结构规范化等一些标准、规范性工作,最终实现横向纵向信息的互连互通,达到信息共享。
5 结束语
烟草行业必须从行业内联网和信息安全的高度,切实加大网络建设的管理力度,建立严格有效的制度,落实好《烟草行业计算机网络建设技术与管理规范》和《烟草行业计算机网络和信息安全技术与管理规范》。运用先进的安全技术,切实组织管理好信息网络安全工作,建设行业网络与信息安全体系,逐步开展行业网络安全审计和行业计算机病毒防护系统建立工作,提高信息系统的安全性,保证系统稳定、可靠运行。要加强安全管理建设,切实做好信息系统的软件安全设计,强化数据安全策略,采用成熟的信息系统安全技术和控制方法,逐步实现网络管理的可视、可控、可管,所有网上运行的应用系统与设备应实现统一、智能化的实时监控,实现应用系统与设备故障的预警和自动报警,实现网络资源的合理分配。凡由国家局统一组织开发的在全行业运行的信息系统,要统一使用行业CA安全认证体系,实现全行业的互通、互认和互信。要建立行业信息安全管理标准和技术标准,构筑行业信息化安全机制,降低和消除各种信息安全隐患,确保信息传输与反馈畅通、及时和安全,为行业信息化建设保驾护航。
参考文献
[1]赵燕敏,李明禄等编著,基于风险评估的企业信息化项目管理方法,北京:计算机应用与软件,2008第1期:111-114
[2]向宏,傅鹂,詹榜华等编著,信息安全测评与风险评估,北京:电子工业出版社,2009:;37-41
[5]沈昌祥编著,关于强化信息安全保障体系的思考,北京:信息安全与通信保密,2003年第6期:14-15
一、加强营业厅渠道管理,积极提升服务质量
营业厅渠道作为企业面向客户的直接窗口,营业厅的业务氛围与服务质量,是影响到整个市场运营好坏的关键环节,是为人民群众提供优质服务的基础。为此,我们加强了营业厅渠道的人员管理,积极梳理存在的薄弱环节,不断完善工作流程,全力提升服务质量。
(一)制定完善营业人员工作规范考核细则,加强业务培训。针对少数营业人员工作散漫,积极性不高,工作难于落实的情况,出台制定完善了营业人员工作规范考核细则。加强培训,多次组织营业人员开展培训学习,提升营业人员的整体思想素质;加强监督考核,确保工作规范落实到位。每月,相关管理人员对各营业厅的工作进行抽查,并将检查结果进行考核通报,并提出整改方案。
(二)做好营业厅氛围营造及支撑管理工作。通过积极争取,为营业人员配置了工服、头花、领结,统一了仪容仪表;落实了营业人员的台牌、胸牌和工作牌;规范了营业厅内部布局,针对营业厅测评细项逐个落实。通过一系列的整改措施,营业厅的工作有了很大的改善。
(三)开展班组建设,提高员工效率。我们全面加强班组建设,实现班组管理的科学化、制度化、规范化,我们做到以诚相待、以心换心;靠一点一滴的细致工作赢得客户信赖,提高营业厅管理水平。
二、营造氛围,创新管理,增强主动营销能力
营销是营业厅作为实体渠道的核心功能之一,也是满足客户消费需求并提升客户对产品、品牌感知的重要途径。我们公司把提升员工主动营销能力放在工作的首位,充分发挥员工潜能,做好交叉向上营销和业务产品推介,不断创新服务手段。
(一)开展了“金牌服务,满意100”系列活动。根据公司的要求,我们营业厅推出了“亚运服务大使、亚运优秀服务团队”评比等系列活动,我们营业厅整体服务能力和服务水平得到显著提升。
(二)抓综合治理,建设和谐平营业厅。营业厅始终把社会治安综合治理、平安建设作为一项事关全局的头等大事和基础性工作来抓,社会治安综合治理、交通安全管理机构及管理制度健全,深入开展和谐平安创建活动,在亚运会和残亚会,在盛会期间,我们紧抓安全生产,落实安检制度,从而使亚运会和残亚会召开期间的安全。
(三)抓好资金管理,确保稽核资金安全。随着公司业务的不断拓展,对稽核人员的素质要求必然越来越高。我积极提高政治思想觉悟,加强自身道德修养,主动强化新制度及相关法律法规的学习,不断更新和充实自己的业务知识,努力提高综合业务水平,做好稽核工作。1-11月共完成收入1939万元,其中渠道完成1760万元,自办厅完成179万元;完成存费送费154万元,其中渠道完成111万元,自办厅完成43万元。
三、加强网络维护,做好转型业务各项工程
1、为保障网络安全,我们制定了通信保障应急预案,并组织相关维护人员对预案进行学习和演练,使维护人员熟练掌握应急预案,达到了预期效果。对存在的隐患进行了及时整改和整治,排除了一切隐患,保证了网络运行正常。加强网点保障工作,特别是加强了发电管理工作,取得了较大的成效,网点中断次数明显降低,大大提升了网络服务质量,提升了客户感知度。一年来我们共组织线路抢险37次,使用光缆线路6.55公里,光缆接头盒59个,共组织基站抢险82次。
