时间:2023-11-06 10:11:17
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇企业信息安全建设,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
关键词:信息安全;管理体系;PKI/CA;MPLS VPN;基线
在供电企业现代信息技术广泛运用生产经营、综合管理之中,实现资源和信息共享,为领导提供相关辅助决策。保障企业信息安全是企业领导层、专业人员及企业全员共同面对的。信息安全是集管理、人员、设备、技术为一体系统工程,木桶原理可以很好地诠释信息安全,一个企业安全不取决于最强项,而取决最短板。信息安全需从制度建设、体系架构、一体化防控体系、人员意识、专业人员技术水平等多方面共同建设,才能有效提高企业信息安全,才能为企业生产、经营保驾护航。
1基层供电信息安全现状
基层供电企业信息安全建设方面,在制度建设、安全分区、网络架构、一体化防护、人员意识、专业人员技术水平等多方面存在不同程度问题。
1.1管理制度不健全,制度多重化
信息安全制度建设方面较为被动,大多数都是现实之中出现某一问题,然后一个相关制度,制度修修补补。同一类问题有时出现不同管理规定里,处理办法不一,甚至发生冲突。原有信息安全管理制度宽泛,操作性较差。信息系统建设渠道不同,未提前进行信息安全方面考虑,管理职责不明,导致部分信息安全工作开始不顺畅。
1.2安全区域划分不明,网络架构不清晰
基层供电企业系统建设主要由上级推广系统和自建系统,系统建设时候相当部分系统未充分考虑系统,特别是业务部门自建系统更甚。网络建设需要什么就连接什么,存在服务器、终端、外联区域不明显,网络架构不清晰。
1.3未建立一体化安全防护体系
从近些年已经发生的各类信息安全事件来看,内部客户端问题造成超过将近70%。内部终端用户网络行为控制不足,存在网络带宽滥用;终端接入没有相应准入控制,不满足网络安全需求用户接入办公网络,网络环境安全构成极大风险;内部人员对核心服务器和网络设备未建立统一内部控制机制;移动介质未实施注册制管理等问题。
1.4未建立行之有效设备基线标准
网络安全设备、操作系统、数据库、中间件、应用系统等厂家为了某种方便需求,在设备和系统中常常保留有默认缺省安全配置项,这些恰恰是别人利用漏洞。基层供电企业在部署设备和系统时,没有统一基线标准,没有对设备和系统进行相应基线加固,企业存在潜在风险。
1.5信息安全意识较差,技术水平参差不齐
企业信息安全认识存在认识上误区,常常认为我们有较强信息安全保护设备,外部不易攻破内部,事实上堡垒常常是从内部攻破的。比如企业员工弱口令、甚至空口令、共用相同密码、木马、病毒、企业机密泄露等,这恰恰是基层供电企业全员信息安全意识较为薄弱表现。专业技术人员缺乏必要自我学习和知识主动更新,未取得专门信息安全专业人员资质,处理问题能力表现参差不齐。
2必要性
信息安全为国家安全重要组成部门,电力企业信息安全为国家信息安全的重要元素,电网安全事关国计民生。2014年2月,国家成立中央网络安全和信息化领导小组,将网络信息安全提升前所未有高度。近年发生的“棱镜门”事件,前几年发生伊朗核电站“震网”病毒(Stuxnet病毒)网络攻击,其中一个关键问题就是利用移动介质摆渡来进行攻击,造成设备瘫痪,这一系列信息安全事件都事关国家安全,因此人人都要有信息安全意识。首先要防止企业机密数据(财务、人资、投资、客户等)泄漏;其次,保持数据真实性和完整性,错误的或被篡改的不当信息可能会导致错误的决策或商业机会甚至信誉的丧失;最后,信息的可用性,防止由于人员、流程和技术服务的中断而影响业务的正常运作,业务赖以生存的关键系统如失效,不能得到及时有效恢复,会造成重大损失。建立严格的访问控制,前面数据分级时有制定数据的“所有者”及给敏感数据进行分级,按照分级的要求制定严格的访问控制策略,基本的思想是最小特权原则和权限分离原则。最少特权是给定使用者最低的只需完成其工作任务的权限;权限分离原则是将不同的工作职能分开,只给相关职能有必要让其知道的内容访问权限。通过对内部网络行为的监控可以规范内部的上网行为,提高工作效率,保护企业有限网络资源应用于主要生产经营上来。
3特点探析
通过我们对基层供电企业在信息安全存在问题及必要性来看,主要是管理制度、网络信息安全技术、人员意识等方面存在问题,有以下特点。
3.1管理制度方面
常说信息安全“三方技术、七分管理”,制度建设对信息安全保障至关重要。信息安全管理制度应该有上级主管部门建立一套统一管理制度,基层供电企业遵照执行,可以根据各单位具体情况进一步细化,让管理制度落地。从企业总体信息安全方针到具体专业制度管理上,实现全网一体化,规范化。
3.2网络信息安全技术方面
上级专业主管部门,站在企业高度,制定专业技术标准和技术细则。从网络安全分区、网络技术架构、互联网接入和访问方式、终端安全管理、网络准入控制等方面统一规划,分布实施,最终实现企业网络信息安全防控一体化。
3.3信息安全意识培养方面
企业员工信息安全意识培养是个长期的过程,不是通过一次两次培训就能解决的,采取形式多样化方式来培养员工安全意识,可以通过集中培训讲课、视频宣传、张贴宣传画等方式进行。针对专业人员,要让他们养成按照制度办事习惯,用户需要申请某项资源,严格按照制度执行,填写相应资源申请,有时候领导打招呼也要按照制度流程来执行。长此以往,人人都会知道自己该做什么,不该做什么,该怎么做,企业信息安全意识就会得到极大提高。
3.4专业技术人员水平方面
信息安全技术日新月异,不学习就落后,不断收集信息安全方面信息,共同讨论相关话题,建立相应培训机制,专业人员实行持证上岗,提升专业人员实际解决问题能力,有效提高人员专业素养,成为企业信息安全方面专家。
4实施和开展
从2009年开始,先后进行一系列信息安全建设,涉及到信息安全制度建设、网络信息安全体系架构、信息安全保障服务、人员培训等方面,整体提高基层供电企业信息安全状况。
4.1信息安全制度建设
2010年开始信息安全体系ISO27001、27002建设,结合企业情况,形成30个信息安全相关文件,涵盖企业信息安全方针、等级保护、人员管理、机房管理、网络信息系统运行维护管理、终端安全、病毒防护、介质管理、数据管理、日志管理、教育培训等诸多方面。2013年为进一步提示公司信息化管理水平,先后增加修改建设管理、实用化管理、项目管理、信息安全管理、运维管理、综合管理5个方面14个管理细则。经过这一系列制度建设,基层供电企业有章可循,全网信息安全依据统一,明确短板情况。
4.2建设一体化网络与信息安全防控
首先依据电监会5号文件要求,网络架构按照三层四区原则进行部署建设,生产实时控制大区(Ⅰ、Ⅱ区)与信息管理大区(Ⅲ、Ⅳ区)之间采用国家强制认证单向数据隔离装置进行强制隔离,网络架构采用核心、汇聚、接入部署。网络接入按照功能划分服务器区、网管区、核心交换区、用户办公区、外联区、互联网接入区,在综合数据网上,利用MPLSVPN,根据划分不同VPN业务、隔离相互间数据交叉。建立全网PKI/CA系统,构建企业员工在企业数字身份认证系统,已建成系统进行未采用PKI登陆系统,进行相应改造结合PKI/CA系统,采用PKI登陆,在建系统用户登陆必须集成PKI登陆。根据企业信息安全要求,进行互联网统一出口,部署统一互联网防控设备,建立统一上网行为管理策略,规范员工上网行为,合理使用有限互联网资源,审计员工上网日志,以备不时之需。建立企业统一病毒防护系统,实现病毒软件统一安装,病毒库自动更新,防护策略统一下发,定期统计病毒分布情况,同时作为终端接入内网必备选项,对终端病毒态势比较严重用户进行督促整改,有效防止病毒在企业内部蔓延,进一步进化内网环境。建立统一网络边界安全防护,在企业内网边界合理部署防火墙、IPS、UTM,并将其产生日志发送到统一安全管理平台,进行日志管理分析,展现企业内部信息安全态势,预警企业内部信息安全存在问题。利用AD域或PKI/CA进行用户身份认证,建设统一桌面管理,所有内网用户必须满足最基本防病毒、安全助手、IT监控要求方可接入内网,系统启用强制安全策略,终端采用采用DHCP,用户不能自动修改IP地址,在DHCP服务器上实现IP与MAC地址及人员绑定,杜绝用户私自更换IP地址引起冲突。安全认证方面可以采用NACC或交换机802.1x方式进行,不满足要求用户,自动重定向到指定网站进行安全合规性检查,满足要求后自动接入内网,强制所有用户采用统一网络安全准入规则。实行移动介质注册制,极大提高终端安全性,有效保护企业信息资产。建立内部运维控制机制,实现4A统一安全管理,认证、账号、授权、审计集中管控。规划统一服务器、网络设备资源池,按照用户需求,提交相应申请材料,授权访问特定设备和资源,并对用户访问行为全程记录审计。
5结语
[关键词]信息安全;管理;控制;构建
中图分类号:X922;F272 文献标识码:A 文章编号:1009-914X(2015)42-0081-01
1 企业信息安全的现状
随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。
2 企业信息系统安全防护的构建原则
企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:
2.1 建立企业完善的信息化安全管理体系
企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。
2.2 提高企业员工自身的信息安全防范意识
在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。
2.3 及时优化更新企业信息安全防护技术
当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。
3 企业信息安全体系部署的建议
根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:
3.1 实施终端安全,规范终端用户行为
在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。
3.2 建设安全完善的VPN接入平台
企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSL VPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSL VPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。
3.3 优化企业网络的隔离性和控制性
在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。
3.4 实现企业信息安全防护体系的统一管理
为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。
4 结束语
信息安全的主要内容就是保护企业的数字化成果的安全和完整。企业在实施信息安全防护过程中是一个长期的持续的工作。我们需要在前期做好详尽的安全防护规划,实施过程中根据不断出现的情况及时调整安全策略和访问控制,保证备份数据的安全性可靠性。同时全体企业员工一起遵守企业制定的信息安全防护管理规定,这样才能为企业的信息安全提供生命力和主动性,真正为企业的核心业务提供安全保障。
参考文献
[1] 段永红.如何构建企业信息安全体系[J]. 科技视界,2012,16:179-180.
[2] 于雷.企业信息安全体系构建[J].科技与企业,2011,08:69.
[3] 彭佩,张婕,李红梅. 企业信息安全立体防护体系构建及运行[J].现代电子技术,2014,12:42-45+48.
[4] 刘小发,李良,严海涛.基于企业网络的信息安全体系构建策略探讨[J]. 邮电设计技术,2013,12:25-28.
[5] 白雪祺,张锐锋. 浅析企业信息系统安全体系建设[J].管理观察,2014,27:81-83.
1企业信息安全相关概述
1.1信息安全的含义
迄今为止,对信息安全依然没有一个统一和公认的定义。但是从国内外研究来看,对其主要存在2种说法:一种指的是具体信息安全技术系统的安全;而另一种则指的是某些特定的信息体系的安全。上述2种定义主要站在静态的角度上阐述了信息安全的基本层面,但是信息系统和网络的影响决定了信息安全是一个动态的改变,其主要是防止企业信息遭到恶意泄露、破坏、更改[1]。信息安全的最终目的是向合法的对象提供安全、可靠的信息。
1.2信息安全在企业中发挥的重要作用
企业信息作为企业的宝贵资源,保证企业信息的安全性对企业的生存和发展具有重要作用,主要体现在以下3个方面:一是企业信息安全是保障企业正常运行的基本前提。在网络时代背景下,企业信息安全的内容更广泛,再加上现代企业制度的不断建立和完善,越来越多的企业依靠信息数据库开展各项工作,例如:对于市场情况的分析、做出重大决策等等。二是保障企业信息安全是提高企业市场竞争力的必备条件。随着市场经济的不断完善,企业面临的竞争也越来越激烈,在这种形势下,企业要想获取市场竞争优势就需要依靠信息安全来实现。三是企业信息安全作为企业发展战略中重要的组成部分,而企业实施各项战略主要是通过自身的经营活动、财务信息等开展的,这些数据也能够将企业的战略实施方法以及下一步计划详细地反应出来,因此,如果企业的信息安全无法得到保障,那么企业要实施各项战略难度也很大。
2网络时代下企业信息安全风险分析
2.1缺乏高度的信息安全风险意识
在网络时代的浪潮下,很多企业都在逐步加强自身信息安全的建设,通过加大资金投入、创新技术等措施来保障自身的信息安全,然而,对信息风险的控制并非仅仅依靠技术就可以实现,更重要的是人们要树立起信息安全的风险意识。但是从当前来看,还有很大一部分企业的领导者、管理者、员工缺乏对信息安全风险的高度重视,主要表现在:个别人甚至片面地认为信息安全仅仅是网络部门的责任,跟自身没有多大关系;二是有个别企业领导者认为对信息安全的宣传过度夸张,遭受网络攻击的概率小,一般不会发生在自己身上;三是个别企业没有建立信息安全风险管理体系,再加上企业缺乏具体的故障系统,导致企业信息安全遭到风险时,员工往往手足无措,虽说有些企业针对自身的信息安全制定了一系列规章和制度,但是由于缺乏针对性和操作性,导致这些制度无法得到真正落实。
2.2应用系统的安全性不高
企业要实现信息化建设的目的,少不了各种应用系统作支撑,但是从实际情况来看,很多企业还存在着应用系统的安全性不高等问题,进而导致企业在数据传输和存储等方面存在漏洞。如此容易被一些病毒、恶意软件窃取,实现非法访问,进而引发企业信息丢失或者泄露等安全风险。另外,很多企业应用系统的安全方模式也较为单一,绝大部分主要是采用“口令”的方式进行认证,无法实现对信息安全全方位的防范。另外,企业设置的密码过于简单、操作不规范等等都会增加应用系统安全的风险。
2.3技术设备和设施的作用发挥不足
个别企业为了防范信息安全风险,针对一些重要信息设置了安全设备,但是由于操作条件和参数设施不够合理,无法将这些设备的作用充分发挥出来。还有很多企业没有通过建立工作日志来对安全设备、设施的运行情况进行监控,进而不能根据企业的经营情况对信息安全进行风险控制,更无法采取有效措施保障企业风险管理。
3网络时代下控制企业信息安全风险途径分析
3.1加强信息安全教育,提高信息安全风险意识
由于在企业信息安全控制中,提高员工的信息安全意识是保证企业信息安全的决定性因素,因此,企业应该加强对员工的信息安全教育,帮助员工树立起信息安全风险意识,例如:企业可以利用一些重大节日开展关于信息安全的演讲比赛、征文比赛,也可以通过建立适当的激励制度以及开展培训活动等途径来加强员工对信息安全重要性的认识,进而提高自身的信息安全风险防范意识和观念。
3.2加强信息化建设,设置信息安全管理部门
在企业信息化建设中,信息安全作为重要的基础,企业要强化自身的内部控制,就应该落实信息安全的建设工作。加强信息化建设首先需要企业将信息安全纳入安全管理范围内,进而突出信息安全建设管理的重要地位;然后不断健全信息安全的责任制度,争取形成信息安全联动管理机制,确保信息安全管理的有效性;最后,在企业中设置信息安全管理机构,该部分的主要职能为企业信息安全建设、管理以及员工的信息安全教育培训工作等,从而为企业的信息安全风险控制创建一个良好的内部环境[2]。
3.3运用新技术,加强信息安全风险防范
当前控制信息安全风险常见的主要有VPN技术和防火墙技术:(1)VPN技术。VPN主要指的是在公共网络的虚拟专用网络中建立一个临时的安全链接,在通常情况下,对VPN内部进行扩展可以实现远程操作,建立一条分公司、商业合作商和供应商跟公司内部网络安全联系,从而确保信息交换的安全性,保证数据传输的安全性。(2)防火墙技术。防火墙也被称为访问控制系统,主要是通过对网络做拓扑结构和服务类型上的隔离来保障网络安全。运用防火墙技术可以保证企业的内部网络免受外部网络的侵占,并阻断非法访问的外部网络进入企业内部网络,保证企业信息和资源的安全。
4结语
为了保障企业的信息安全,必须建立一个企业信息安全体系。信息安全体系包含信息安全策略、信息安全组织、信息安全技术和信息安全建设与运行四部分内容(如图1所示),四者既有机结合、又相互支撑。企业的信息安全体系运作就是企业根据安全策略,由安全组织(或人员)以安全技术作为工具和手段进行操作,来维持企业网络的安全运行,从而使网络安全可靠。
安全体系的普遍问题
当前大多数企业的信息安全体系普遍存在以下四方面的问题:
信息安全策略方面:许多企业没有统一的安全运行体系;公司的安全策略没有正式的审批和过程,没有公司的行政力度进行保障,使得安全策略在企业内的执行缺乏保障;缺乏规范的机制定期对信息安全策略、标准制度进行评审和修订。
信息安全组织方面:缺乏完整、有效、责权统一的专门的信息安全组织,只是配有少量的兼职安全人员。信息安全工作没有明确的责任归属,工作的开展与落实有困难;缺少信息安全专业人员,缺乏相应的安全知识和技能,安全培训不足;缺乏对于全员的信息安全意识教育,桌面系统用户的安全意识薄弱。
信息安全技术方面:用户认证强度不够;应用系统安全功能与强度不足;缺乏有效的信息系统安全监控与审计手段;系统配置存在安全隐患;网络安全域划分不够清晰,网络安全技术的采用缺乏一致性。
信息安全建设与运行方面:没有建立起完善的IT项目建设过程的安全管理机制,应用系统的开发没有同步考虑信息安全的要求,存在信息安全方面的缺陷;日常的安全运维工作常处于被动防御状态;缺乏明确的检查和处罚机制,多数企业在运维管理方面缺乏统一的安全要求和检查;缺乏应急响应机制;对已有安全设施的维护、升级和管理不到位。
面对以上种种问题,企业必须认真考虑下列问题: 企业如何建立信息安全策略体系?企业信息安全组织如何建立?企业信息安全技术是否有效可靠?企业信息安全建设与运行是否有完整的制度保障?要解决这些问题,企业应充分利用成熟的信息安全理论成果,设计出兼顾整体性、具有可操作性,并且融策略、组织、运行和技术为一体的信息安全保障体系,保障企业信息系统的安全。
信息安全策略体系
信息安全策略体系规划为三层架构,包括信息安全策略、信息安全标准及规范、信息安全操作流程和细则(如图2所示),涉及的要素包括信息管理和技术两个方面,覆盖信息系统的物理层、网络层、系统层、应用层四个层面。
技术安全体系
在IAARC信息系统安全技术模型中,包含了身份认证、内容安全、访问控制、响应恢复和审核跟踪五个部分,当前主要的信息安全技术或产品都可以归结到上述五类安全技术要素(如图3所示)。
充分利用信息安全的技术手段(包括身份认证、访问管理、内容安全、审核跟踪和响应恢复等五种保护措施),同时,结合信息安全所保护的对象层次,以及目前主流的信息安全产品和信息安全技术,完善企业信息安全技术体系框架。
整个企业信息安全技术体系的总体框架如图4所示:
物理层安全
主要包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等。
网络层安全
要建立注重安全域划分和安全架构的设计。可以根据信任程度、受威胁的级别、需要保护的级别和安全需求,将网络从总体上分成四个安全域,即公共区、半安全区、普通安全区和核心安全区。针对不同的安全区域采用不同的安全防范手段。
安全边界的防护。边界是不同网络安全区域之间的分界线,是不同网络安全区域间数据流动的必经之路。安全区域的边界防护是根据不同安全区域的安全需要,采取相应的安全技术防护手段,制定合理的安全访问控制策略,控制低安全区域的数据向高安全区域流动。
针对VPN的接入安全控制。用户远程VPN接入主要用于员工出差时访问内部网络的需求和各企业小规模分支机构访问内部网的需求。VPN(虚拟专用网)是为通过一个公用网络(通常是互联网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。
网络准入控制。网络准入控制系统是通过对网络用户合法身份的验证以及对网络终端计算机安全状态的检测和评估,决定是否允许这台网络终端计算机接入企业网络中。若不符合制定的准入策略,将其放入隔离区以修复,或仅允许其有限地访问资源。降低非法用户随意接入企业网和不安全的计算机终端接入企业网对网络安全带来的潜在威胁。
做好网络设备登录认证。建立集中的网络设备登录认证系统,用于对网络设备维护用户的集中管理,认证用户的身份,决定其是否可以登录到网络设备;通过定义不同级别的用户,授权他们能执行的不同操作,记录并审计用户的登录和操作。
系统层安全
做好系统主机的入侵检测,针对系统主机的网络访问进行监测,及时发现外来入侵和系统级用户的非法操作行为;要做好系统主机的访问控制,系统主机访问控制提供给系统安全管理员最有效的方法,从用户登录安全、访问控制安全、系统日志安全等方面加入安全机制;要做好系统主机的安全加固,定期对服务器操作系统和数据库系统进行安全配置和加固,在不影响业务处理能力的前提下对系统的配置进行安全优化,以提高系统自身的抗攻击性,消除安全漏洞,降低安全风险;做好主机的安全审计工作,提供全面的安全审计日志和数据,提升主机审计保护能力,对审计数据的访问进行严格控制,加强对审计数据的完整性保护。
应用层安全
随着各种各样的系统应用不断深化和普及,一些应用系统安全问题不断凸现出来。为了最大限度及时规避因应用安全问题带来的威胁,应着力抓好六个方面的工作:建立应用安全基础设施;健全应用安全相关规范;改进应用开发过程;组织关键应用安全性测试;加强应用安全相关人员管理;制定应用安全文档及应急预案。
终端层安全
加强终端电脑的安全管理。终端安全指对接入企业网络的终端设备(主要是台式计算机、笔记本电脑和其他移动设备等)进行的安全管理。内容包括终端安全策略、防病毒、防入侵、防火墙、软硬件资产管理、终端补丁管理、终端配置管理、终端准入控制以及法规遵从等内容。
备份与恢复
备份与恢复是基于安全事件发生后保证灾难所造成的损失在一个可以接受的范围内、并使灾难得到有效恢复的安全机制,包括数据级、应用级和业务级三个层次。参照国际标准Share78中定义的容灾系统层次划分,对不同等级的信息系统建立不同的备份与恢复机制。主要工作包括:开发容灾计划,通过对不同等级的信息系统容灾需求分析,确定容灾等级、RTO\RPO等容灾指标、备份策略、恢复性测试要求等,设计容灾方案;备份与恢复基础设施的建设,包括建立异地灾难恢复系统和重要数据的本地备份设施。
信息安全组织
信息安全组织的角色与职责要界定清晰。信息管理层进行适当的职责划分,能合理阻止关键流程的破坏。同时应加强全员的信息安全意识教育,提高员工整体信息安全意识。建立安全组织与定义安全职责是密不可分的两项工作,组织与职责的清晰定义可以有效地促进信息安全各项工作的进行,包括信息安全教育与培训以及人员安全。企业要建立的信息安全组织要包含决策、管理、执行与监管四个层面。
信息安全教育与培训要覆盖公司各个层面的人员,提升整个企业人员安全的水平,同时人员安全的相关工作在制度和机制方面为教育与培训提供有效保障。
现代供应链中无论是企业内部的生产、销售订单、合作企业的生产进度,还是企业间的资金转帐、招投标信息,都是需要高度保密的敏感信息,这些信息的准确性、机密性将直接影响到供应链企业的生产和经营决策[2]。在供应链中,由于信息在节点企业间共享,对信息安全提出了新的要求:(1)信息安全不再是某个企业个体的事情,而是整条供应链所有节点企业共同面临的问题,任何一家企业由于自身原因导致的信息安全事故,将可能危害整条供应链的利益。供应链信息安全保障工作要远比单个企业复杂。(2)供应链上下游企业形成“委托—”关系,具有优势的方往往倾向于增加信息不对称,来获得额外的利益。(3)由于供应链企业间共享的信息具有较高的商业价值,有些企业为了自身利益,可能会将共享的信息泄露给供应链外企业。如何既保证节点企业间的信息共享,又防止企业泄露信息、身份欺诈等有害行为的发生是供应链信息安全需要研究的问题。
2供应链信息安全现状与问题
目前,我国企业在供应链管理的实践中,对供应链信息安全或者重视不够或者束手无策,存在一些较为突出的问题。
(1)信息安全意识淡薄目前我国很多供应链节点企业没有意识到信息是重要资产,没有把信息安全管理工作作为日常工作的重点。据北京谷安天下公司开展的《2011年度中国企业员工信息安全意识调查》活动结果显示,受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑桌面安全等相关安全意识相对较差。
(2)信息安全管理无章可循、有章不循现象普遍供应链信息安全工作缺乏统一的依据和准则,节点企业的安全制度互相间存在内容交叉甚至矛盾,边界定义不明确,安全职责模糊不清,部门责任和岗位责任制得不到真正落实,执行监督机制薄弱。许多企业对移动存储设备的使用无严格规定,员工可以随意使用移动存储设备对文件进行存储备份,企业信息逐步成为个人资产,随着人员流动而广泛传播。员工工作时间上网畅通无阻,无限制地使用QQ、MSN等传送、接收文件,容易导致机密泄露和病毒、木马、黑客的攻击。掌握大量机密信息的特权员工,例如数据库管理员、网络管理员、营销主管和技术研发人员容易将掌握的机密信息出售给企业的竞争对手。
(3)缺乏信息安全技术与管理人才信息化建设中存在重硬件,轻软件和管理的现象,对信息人才的培养与引进关注不够。为了节约人力成本,往往一个信息安全管理员既要负责系统的配置,又要负责系统安全管理,管理权限过于集中,一旦出现管理员的权限失控或离职等情况,极易导致重要信息泄露。
(4)缺乏统一的信息安全战略规划和防范机制许多企业的信息安全措施随意性很强,缺少严格的科学论证,采取的是“贴膏药”式的安全策略,从而引起软硬件安全设备(系统)间防护功能的重叠和弱化,导致管理难度加大,重复投资现象普遍[6]。有些企业经常出现“先业务,后安全”的现象[7],安全管理严重滞后于业务的发展。安全事件发生后才去解决,信息安全人员变成“救火员”,安全建设经常是“亡羊补牢”。
(5)供应链企业之间信息的共享与交流存在安全问题供应链各节点企业在合作过程中一再强调依靠信息共享实现双赢,但又都是独立的利益个体,一旦企业之间发生利益冲突,则容易出现的主要问题有:①合作伙伴的逆向选择风险[8]。由于信息不对称,各节点企业形成的“委托—”关系往往导致了一种逆向选择的风险。委托方往往比方处于更不利的位置,企业往往通过阻碍信息共享,增加供应链中信息的不对称,从合作伙伴那里获得更大利益。②供应链节点企业的败德行为。当前我国企业与供应链(网络信息犯罪)相关法律法规不健全的法制环境下,节点企业会利用信息优势而采取一些违背供应链整体利益或者其它成员企业利益的措施。企业会主动或有意将供应链内共享的信息泄露给没用参与共享的企业来获得额外利益。企业成员间还存在欺诈行为,如不法企业利用身份欺骗,以某企业成员的名义,欺骗其他企业成员[9]。诸如此类败德行为如不加控制会降低供应链的服务水准,导致供应链其余节点企业、顾客的不满和利益流失。
3供应链信息安全体系框架
供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时,才能有效保证整体安全管控的目标得以实现。然而,对于我国大多数供应链企业说,信息安全存在上述诸多问题,主要原因是在信息安全建设之初,没有根据供应链整体业务发展的需要确立合理的信息安全需求,导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点企业提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模172型[1]。供应链信息安全框架由企业信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内容,是安全管理模块的服务对象,同时,它们也是信息安全策略制定的基础和依据,还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。基础安全服务和架构模块是信息安全建设技术需求和功能的实现者,是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施,确保基础安全服务功能的实现,最终实现安全治理的要求,满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和依据,有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链企业信息安全技术和经验的不足,提供安全托管及信息安全认证服务。
4供应链信息安全体系框架的应用
供应链信息安全框架参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果。在具体运用中可结合信息安全相关方法论、模型及标准,从企业需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业安全需求,再根据安全需求定义信息安全建设的内容和方向,如图2所示。图2供应链信息安全体系框架应用。
5结论
关键词:电信企业;信息安全;风险防控;管理体系;建设;研究
一、电信企业信息管理的现状与作用
(一)电信企业信息管理体系的现状
随着社会的发展,无论是个人还是企业,都越来越离不开科学技术。这也导致科技所引发的信息安全管理体系的问题出现。1、针对信息安全管理体系的建设没有创建出专门的管理机构由于在信息管理方面,企业没有一个系统的较为权威的管理部门及相关组织,其管理权限分散在建设、运维、系统支撑、市场等部门,在很大程度上致使企业信息管理中的相关法规得不到正常有效的运行。2、未能充分的考虑企业相关管理部门与信息安全管理体系的建设完善由于电信企业的特殊性,在具体的信息安全建设管理中,信息体系建设和信息安全管理的工作不够协调,使得企业在信息安全管理的相关工作上没法进行积极主动实施,导致了企业信息安全管理体系建设工作的没能与相关体系升级换代同步进行。3、企业信息管理建设滞后对于相关部门而言,信息安全管理常常局限于使用比较局部的安全产品进行保障,这样就容易形成被动的使用相关办法来应对信息安全的漏洞风险,导致此类方法严重缺乏科学性,而且由于使用范围的局限,从而也不完全能够抵御安全问题给企业所带来的运营风险。
(二)企业信息安全管理的作用
信息安全管理体系的建设是对企业来说非常重要,尤其是电信企业,通过信息安全管理体系的建设,不仅有利于提高相关部门的工作人员的信息安全意识,而且还能够加强对信息安全的管理组织的规范管理,通过充分有效的安全信息维护,能够帮助企业在信息管理受到严重威胁时可以及时消除风险,从而维护国家、企业、广大用户的切身利益,确保电信企业在国家信息建安全战略中的中流砥柱作用。
二、电信企业信息管理建设的有效方法
(一)制定有效的信息管理计划
在企业管理中,有效的信息安全管理,是企业发展的前提;信息管理建设需要有效的策划:1、教育培训在企业管理中,做好教育培训工作是非常重要的,通过相关培训,不但能够提高相关人员的安全信息管理意识,强化相关人员实际操作能力,而且还可以为信息管理体系吸引大量的相关人才。2、制定信息安全管理计划制定管理的相关计划是企业发展中的关键环节,所以,为了企业的可持续发展,相关部门需要制定信息管理体系建设的标准,拟定相关计划。
(二)电信企业信息管理建设的范围
对于一个企业来说,确定信息管理体系的范围是非常重要的,其需要相关部门人员根据实际情况来进行重点有效的管理,这个管理的范围就是安全管理体系的范围。这一范围还可分为整体范围与个别信息安全管理范围,通过不同的部门可对管理组织进行划分,并在一定的程度上进行不同力度的管理。就电信企业而言,主要涉及企业信息管理和用户信息管理,其安全体系建设贯穿在企业运行的全过程。
(三)建立企业信息管理框架
对一个企业而言,企业的信息管理必须建立起一个严格的管理模式。具体步骤如下:1、信息安全管理体制的计划在规划信息安全管理体系时,首先的一个步骤就是对企业的信息安全管理有一个明确的计划。这样一来不仅能够对后续工作做了一个提前的准备,有利于建立管理机构,而且还能够对管理的责任做出明确的规定,能够更好的确立管理目标,评估管理风险。2、企业信息安全管理的实施有了一定的企业信息安全管理体系的计划,接下来的一个重要步骤就是计划的实施过程,过程主要有信息安全管理方法应用和相关措施落实等。3、企业信息安全管理体制的检查这个阶段的工作开展要做好充分的准备,因为这一阶段是整个计划的关键阶段,主要通过审计、自我评估或借助第三方审核等方法来对计划实施的效果进行审查。
三、结束语
综上所述,“我国电信运营企业的信息安全风险无处不在,安全形势日益严峻,迫切需要系统、科学、有效的信息安全风险管理体系理论指导管理工作实践。”通过本文,我们了解到我国电信企业的信息安全管理体系方面的现状以及信息安全管理的重要性,通过相关部门的共同努力,切实提高信息安全管理水平,维护好国家安全和公共利益安全,为建设信息化强国做出应有的贡献。
参考文献:
[1]郑敏.关于信息安全管理体系建设的研究[J].计算机光盘软件与应用,2014
[2]曾剑秋,程广焕,杨萌柯.电信运营企业信息安全风险管理体系研究[J].科技管理研究,2016
实验目的:了解企业信息化的一般过程。
掌握企业信息化中企业领导的管理工作。
掌握企业信息化中一般员工的工作。
实验情况及实验结果:1、上网查找一个企业信息化的成功案例,思考一下问题:
(1) 该企业为何进行信息化的建设?
答:中国人民财产保险股份有限公司就是一个成功的信息化的企业.
九十年代,随着网络等信息技术的发展,公司的信息技术建设也迈上了新的台阶。由于公司机构众多,各地业务差异较大,信息系统建设多是各自为政,全盘的考虑与规划存在不足。于是于XX年,公司与ibm携手制定了中国人保信息技术发展五年规划,这是公司战略发展的重要组成部分。规划的制定结合了公司当时的经营、管理情况,并与总公司、分公司各层级管理、技术人员充分沟通、交流,吸收了他们很多的建议、想法,同时参考了国际上许多金融企业成功案例。
(2) 该企业的信息化过程是怎样的?
答: 信息技术五年规划制定以后,信息技术部便以此为参照,目标是建设全险种、大集中、共平台、宽网络、同标准的基本体系架构。
信息化整体思路:
1、数据模型标准化,应用平台统一化;
2、业务数据逐步集中存储,业务系统逐步集中处理;
3、分析产生的数据,为业务、管理和决策服务;
4、加强网络和信息安全建设,提供多渠道的客户访问服务。
(3)信息化给企业带来了什么效益?
答: 回顾几年以来公司信息化建设历程,已基本建成全险种、大集中、共平台、宽网络、同标准的基本体系架构,并在数据的分析处理方面作了大量工作,成果斐然。信息化建设的思路是科学合理地制定战略发展规划,并建立了标准化体系,搭建了统一的应用平台,然后将数据和业务处理逐步集中,在此基础上,进行数据的分析处理,为公司业务经营和管理决策服务。与此同时,进行网络和信息安全建设,为信息化之路提供更好的条件和保障。指导思想的科学合理性与信息化建设者们的苦干实干相结合,公司的信息化建设结出了累累硕果,得到广泛好评。公司开发的“新一代综合业务处理系统”于XX年9月提名参加了chp ( computer-world honor program,计算机世界荣誉组织)“计算机世界荣誉奖”的评选,此奖项评选由idg集团组织,全球上百家it公司总裁作为评委,是当今世界信息技术领域奖项之一,有“it奥斯卡”之称。XX年4月,该系统已经获得本年度“计算机世界荣誉奖”21世纪贡献大奖提名奖。这是今年全球一家保险企业获奖,也是继招商银行去年获奖后,我国第二家以及本年度一家在该奖项的“金融、保险及地产领域”获此殊荣的国内企业。
【关键词】电力企业;网络信息安全;管理
新时代是网络信息时代,全世界信息网络系统都在迅猛发展中。电力企业作为各行业中重中之重的国家基础行业,整个行业都对网络信息系统有着极大的依赖性,网络信息系统也以它快速、全面、及时的优点给电力企业带来了极大的经济效益。但是网络信息系统所带来的不仅是经济效益,同样还有信息泄露的巨大风险,一旦发生信息泄露或信息数据遭篡改,将为国家造成不可估计的经济损失。
近年来全球范围内计算机犯罪活动猖獗,不断发生黑客入侵、电脑病毒肆虐事件,给电力企业敲响了警钟,网络安全防范刻不容缓。很多受害者的网络硬件及软件技术都处于时展的主流,然而依然发生信息安全受损事件,这充分证明,仅仅依靠软硬件的更新是不能很好的提升网络信息安全水平的,除了安装网络安全产品,同样重要的还有网络信息的安全管理措施。所以,各电力企业都必须认真面对和研究当前网络信息安全问题,及时采取合理有效的防范措施。
1、我国电力企业网络信息安全现状
1.1电力企业信息化的优势
进入二十一世纪以来,随着网络技术的迅速发展,我国电力企业的信息化也有着很大的进步:电力行业信息化设施较其他行业更完善,各电力企业主要岗位使用计算机工作的比率已经基本达到100%,而且90%以上都建立起了覆盖本部机关工作的局域网;电力生产、调度自动化系统广泛应用,已经形成了较成熟的管理模式。其中发电生产自动化监控系统、电力调度SCADA系统等,大大提高了生产过程和电力调度的自动化水平;电力营销管理系统在全国各大电力企业广泛应用,各地(市)级电力企业都已实现业务受理计算机化。同时各地也在大力建设客户服务中心,已经有一批服务中心先行初步建立起来;国家电网公司及其下各级子公司开发应用了电力生产、设备安检、电力负荷及营销管理的企业管理信息系统,各大电力企业也在积极规划企业信息化发展蓝图,大力进行企业信息化建设,推动实现电力工业现代化进程。
1.2当前存在的问题
上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。
1.2.1信息化机构建设不健全。电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2.2企业管理阻碍信息化发展。有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.2.3网络结构不合理。电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.2.4身份认证缺陷。电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.2.5软件系统安全风险较大。软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windows XP系统的服务支持,大量使用windows XP系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.2.6管理人员意识不足。很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
电力企业信息化是不可避免的发展趋势,因此要实现企业的可持续发展就必须做好企业信息网络安全的管理,电力企业要在不断的探索实践中,摸索新时期网络信息安全管理措施,不断完善和健全网络信息安全建设。
参考文献
[1]王隽.电力企业网络信息安全防护体系的建立[J].信息与电脑(理论版),2012,07:22-23.
南京翔晟信息技术有限公司是一家以商用密码产品研发和市场推广为一体的综合性公司,先后与南京大学和南京信息工程大学进行了长期紧密合作,以公司为基础相应成立了软件技术研发合作中心以及产学研培训基地,培养了许多软件实用性人才。
南京翔晟信息技术有限公司所研发的商用密码产品——基于PKI的电子签章具有独立自主的知识产权,完全符合《中华人民共和国电子签名法》等各项法律条文及国家商用密码管理局的各项规定,是在国务院颁布的“中华人民共和国计算机信息系统安全保护条例”和公安部颁布的“计算机信息网络安全保护管理办法”的框架下特制开发的。
南京翔晟的产品已在各互联网领域得到了广泛的运用,目前,公司针对不同行业和领域的特殊性,把产品进行了细化,已有针对性地为广大消费者提出了完美的技术解决方案。
自2009年公司成立以来,公司已成为“江苏省软件”企业,其电子签章产品已在全国近20多个省100多个地级以上城市的电子招投标平台上投入使用,累积了约20多万的终端客户量,并获得广泛好评。
南京翔晟相继获得了《公安部销售许可证书》、《国家保密局检测证书》、《商用密码证书》、《软件产品证书》、《软件企业证书》、《军用信息安全产品资质》、《技术贸易证书》等十多个资质,并取得了十几项专利及著作权。雄厚的软件技术研发实力和卓越周到的服务水平,为我公司的商用密码产品在国内市场的推广和销售打下了坚实的基础。
南京翔晟信息技术有限公司拥有一支勇于创新的研发队伍,凭借着自身雄厚的技术实力、领先的产品性能以及超前的服务意识先后与国内各大行业中的知名软件平台开发商进行紧密合作,先后在各大行业中成功地为客户建立了可靠、安全的电子签章平台系统,不仅节省了客户的办公费用,并且为客户的信息安全建设保驾护航,进一步加速推动了客户的整个信息化建设,提高了整体信息办公系统的效率。
翔晟信息电子签章系统的应用不仅推动电子政务、企业信息化系统信息的安全建设进程,而且也在国内的电子商务网络信息安全建设领域发挥着领先、卓越的产品性能。
除了在全国电子招投标行业广泛运用外,还在全国多家甲级医院的电子病历系统、电子文档管理系统,以及物流、军队、政府、企业系统办公网中得到了实际应用。
同时,南京翔晟信息技术有限公司自主研发的硬件产品SSL数据安全网关和EVS电子验签服务器也相应在国家政府机关、军队、网上证券、网上银行、电子政务、电子商务、企业远程办公等系统中也得到了广泛的采用,并为其互联网应用市场提供了高效、便捷、可靠的安全产品。
南京翔晟信息技术有限公司在吸取行业经验的基础上,本着“高效、分享、务实、创新”的精神,勇创未来,志攀高峰,以其雄厚的技术实力,愿与广大消费者分享信息技术的成果,更愿与所有的产品用户共同探讨,共同挖掘,将翔晟电子签章产品打造成互联网信息安全产品的运营专家,让翔晟电子签章产品更好地为社会服务。
关键词:发电企业 信息化 企业管理
随着信息化建设的不断加强,信息化应用已深入发电企业生产经营管理的各项业务处理中,为发电企业管理工作提供不可或缺的信息化支撑平台。
1.加强信息化制度建设
制度建设是提升信息化建设的根基。发电企业要加强信息化制度建设,首先要明确目标,要明确通过管理制度建设,规范信息化建设、运维、安全控制、评价、考核等全过程管理,管控信息化业务流程及其运维,保障信息化运营同发电企业整体战略目标一致,从而为企业发展提供强有力的智力支撑和技术保障,提升企业内涵式发展动力。
对于发电企业而言,完善的信息化制度包括信息网络运维管理制度和信息系统运维管理制度,通过制度对信息化所涉各部门、人员的权限和职责、网络接入、信息网络、应用系统安全、网络设备运维、资产管理等方面进行严格详细的规范,以制度的规范化实现信息工作标准的提升。其次,信息系统业务关键用户制度是发电企业信息化管理提升的关键,可实现信息化和业务的高度融合,促进信息系统应用效益的增长,能够有效提升企业信息化系统应用管理水平。
2.加强信息安全建设
随着信息应用日益普及深入,信息安全的形势也日益严峻,信息安全对企业和个人造成的风险及危害日益加大。因此发电企业亟需重视信息系统安全,采取有效措施防止信息泄漏,做好重要数据保密、备份,保证企业信息安全。
在实际工作中,第一,要结合公安部信息安全等级保护、电力行业的合规性要求,基于ISMS(信息安全管理体系)和ISO27001体系的信息安全的方法体系,全面评估信息网络安全现状,找出突出问题和薄弱环节,有针对性地采取防范对策和改进措施。
第二,针对公司信息网络安全风险,应通过信息项目技术改造,完善网络安全防护功能。完善防火墙安全策略配置,制定安全稳定的服务器隔离机制,杜绝服务器网络被非法侵入。加强内网安全管理,采取网络接入终端管理系统,进行外部设备准入控制,配置及时可靠的预警系统,制定严谨的操作管理流程。提供有效的故障分析系统,提高工作效率,迅速处理信息故障。
第三,针对信息应用和数据安全,要重点防止重要信息的丢失和泄密。在服务器虚拟化实现应用系统集中管理的同时,要继续提高链路可靠性,提供有效备用和备份手段,提高安全性。要提高存储系统的利用率,加强存储系统的备份机制,保证数据安全,避免数据丢失。
第四,针对企业计算机用户信息安全管理,要采取技术管理和行政管理并重的措施。在采用技术管理手段的同时,加强信息安全风险宣传,通过典型案例和网络安全漏洞介绍,提高个人信息安全防范意识。要加强企业信息安全管理办法的宣贯和执行,强调计算机安全、口令设置、数据备份的重要性,加强督促检查,确保管理效果。
3.加强信息系统运维管理
推动企业信息化管理水平的不断提升,需要根据企业实际,制定切实可行的运维机制与目标。例如,根据企业信息系统部署特点,结合企业IT组织建设规划,规划运维管理机制,力争通过运维机制的建立实现保障系统高可用性,保持运维目标同企业战略目标相一致,支持业务创新,为企业内涵式发展带来活力。
第一,应建立信息系统技术支持综合管理平台。要建立服务于信息系统运维体系的管理平台,实现问题提交、处理、反馈流转,具备操作指导功能。基层信息系统在使用中,由于业务变动、系统升级更新、经验不足等原因,操作人员常常会产生使用疑惑,缺乏实时有效指导。对前台操作开展即时帮助指导,减少操作错误产生的错误、数据故障,无疑对减少运维压力、提高信息准确性产生深远的影响。
第二,应建立企业系统问题管理中心,服务于运行维护的系统平台,应用中发现的问题都通过平台按流程进行上传和反馈,并录入数据库以便查询,从而实现运维工作的系统化、标准化、规范化和协同化。运维处理平台要具有问题提出、问题答复、问题查询等功能,并做到简捷易用,以方便应用层不同素质人员的使用,实现知识库共享。
第三,要加强运维管理现代化建设,实施科学化、精细化管理。要深化运维岗责建设,建立职责分明,工作有序的运维岗位责任体系和绩效考核落实体系。梳理各项工作职能,细化、量化运维工作内容和指标。合理进行岗位设置,将工作职能与运维工作人员对应,可实行一人多岗,一岗多人,要建立考评机制,对运维工作目标和工作过程进行考核和评价,并进行相应的奖励和处罚。
第四,要建立完善的制度保障体系。在运维系统建设过程中,要建立一整套科学的管理制度,如运维管理办法、应急预案、考核办法等制度,以保障运维体系切实发挥其实用性、高效性。完善的运维制度,是运维体系稳定运行的根本保证,实现运维管理人员按章有序地进行维护,减少运维中的不确定因素,更有效地提高工作质量和水平。通过严密的激励、考核机制,形成对信息系统操作人员、运维管理人员日常工作的科学评价,既调动其积极性,又提升工作效率,从而促进信息化建设良性发展。
4.加强信息人才技术培训
企业各级管理人员也需要学习信息相关知识,适应信息新技术应用,业务系统上线及升级带来的变化。
第一,要积极开展信息化培训工作。企业要积极开展信息安全培训和服务器虚拟化培训工作,例如某基层发电企业就通过组织FAM系统切换和上线工作中各模块、各专业的应用业务培训,加强信息化培训。同时可以通过定期举办计算机知识培训、技术比武等活动,激励职工学习技术的热情。通过对取得优异成绩的给予物质奖励、聘为“技术能手”等措施,逐步提高运维技术人员的事业心和责任心,在运维岗位上实现自我价值。
第二,要加强信息技术人才培养。作为信息中心工作人员,必须不断跟踪学习新技术新知识,要根据企业服务器虚拟化技术、备份升级、安全防护技术等新应用,采用自学和外出培训相结合的方式加强学习,适应运维工作需要。要加强应用系统管理流程和具体业务管理工作对照学习,全面掌握信息系统功能特点,做好系统运维和应用深化工作。
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
关键词:供电公司 网络信息 安全建设 管理
1.电力系统的安全指标
电力系统为各产业的发展提供电力资源,建立信息数据网有利于保障电力控制系统的安全。信息系统主要负责数据信息的传输,同时在运行效率、管理控制方面发挥着不可忽视的作用。信息系统的安全不仅局限于信息的保护,还包括对信息系统的保护、检测和恢复等[1]。为保证信息系统的稳定传输,电力企业应制定相应的安全指标。
1.1使用指标
系统中存储的信息必须具有使用价值,否则就没有必要存储进信息系统。因此,电力企业应确定采取安全保护措施的信息的可用性。如果用户有需要,系统应为其提供相应的访问服务,避免因服务功能不及时等问题造成系统信息的异常存储、传输和处理,给系统功能的正常发挥带来影响。
1.2保密指标
电力企业信息系统所用的数据信息必须进行保密,只允许授权使用的人员查看,并不得透露给其他人员。目前,多数电力企业采用“授权、认证”的方式进行信息的保密,只允许授权使用的用户使用信息系统。执行保密指标,必须确保信息不被损坏、篡改和窃取。
1.3存储指标
实现网络化控制是地理企业的改革创新,在网络系统的运行期间必须保证信息存储的完整性。首先要确定纸质、电子档等信息存储的形式,然后再根据实际需要进行合适的存储指标选择,保证使每项信息都能得到有效存储和维护。
1.4审核指标
对数据信息进行定期审核有助于信息的安全管理。电力企业管理人员应在的科学指导下进行审核工作,给管理人员提供正确的决策和指示。此外,进行信息审核能够及时发现系统中存在的问题,提醒网络控制人员对异常情况进行及时处理,防止给信息系统的安全运行带来安全隐患。
1.5人员指标
人是电力网络信息系统中最关键的因素,系统最终需要技术人员的操作控制,如果专业人员技能不足,会给信息安全系统带来很大风险。如:操作人员随意安装操作系统、随意更改计算机代码、随意更新升级各类软件等,都会给网络信息系统带来安全隐患,破坏网络信息传输的正常进行。
2.网络信息安全防护对策
对于电力企业来说,电力资源信息化涉及的面广,工程技术比较复杂,必须从总体考虑网络资源的安全问题。为规避风险,使网络系统的运行更加安全、高效,必须保证网络的安全隔离。具体可采用以下技术解决网络资源的安全:
2.1虚拟网技术
网络管理者掌握虚拟网技术可以营造网络运行的稳定环境,避免其受到外界因素的干扰。。在公共数据网络上,采用访问控制和数据加密技术,可以将两个或多个可信内部网进行互联[2]。
2.2数据库技术
为提前防范电力网信息出现被盗、丢失等异常,运用数据库技术通过数据备份的方式保存原资料,可以保证信息的安全。电力企业应创建数据备份中心,选择高品质的数据恢复技术,如遇到信息数据受损,可以进行提前修复补充,以保证信息系统的正常运行。
2.3防火墙技术
防火墙属于访问控制产品,它能够隔离开信任网络和不信任网络,在内部网络与外部不安全的网络之间设置障碍,对外界异常信息进行过滤控制,阻止来自外界的非法访问。能够有效的阻止黑客的攻击,实现对数据流的监控。如防火墙中的强制实糟,能避免企业信息遭受非法攻击或存取。
2.4病毒防护技术
电力信息网络系统所遭受的最大病害是病毒,它对各类信息的安全具有较大的破坏力。要解决好这个问题,应通过防毒、杀毒的等方式进行处理,营造稳定的信息系统运行的环境。可以在电力企业的服务器上安装防病毒软件,在每台PC机上安装防病毒软件。
2.5安全审核技术
安全审核技术的作用是审核系统上流通的数据信息,及时将在异常的数据信息拦截,避免其给网络系统造成干扰,有效的保护信息系统的安全[3]。
3.加强安全制度管理
电力企业的网络安全管理中,技术仅仅是一部分,经营者还应加强管理决策的改革创新,制定出科学的管理规划和制度。日常管理中,应从以下方面加强管理:
3.1强化安全意识
安全意识涉及到领导者和网络系统运用管理的每个人。电力企业的经营者应将安全意识放在首位,从安全角度出发,制定现有网络系统的安全管理策略,避免来自外在的破坏因素干扰或危害网络系统。企业的员工要不断的培养自己的安全意识,坚持以安全为原则进行系统操作,把握好每个步骤。
3.2及时进行故障处理
网络信息系统发生故障在所难免,当出现故障时,应及时、尽快组织技术人员进行处理,尽早解决故障给系统造成的不良影响。
3.3规划管理制度
网络完全管理制度的严格执行可实现网络系统的有序操作,让系统的每个环节都能安全可靠的运行。电力企业应制定网络系统安全管理的制度,对计算机操作人员进行专业考核、加强设备的管理等,有效预防并避免意外故障的发生。
4.小结
计算机网络系统在电力企业的运用深刻而广泛,存在各种各样的安全威胁。电力企业必须加强安全技术的管理和应用,确保信息系统的安全运行,为企业的安全生产提供有力的保证。
参考文献:
[1]赵慧岩.对计算机网络信息安全建设的探究[J].中国电子商务,2010(1):54.