公务员期刊网 精选范文 企业信息安全方案范文

企业信息安全方案精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的企业信息安全方案主题范文,仅供参考,欢迎阅读并收藏。

企业信息安全方案

第1篇:企业信息安全方案范文

关键词:分布式;信息安全;规划;方案

中图分类号:TP309.2文献标识码:A 文章编号:1009-3044(2008)36-2848-03

An Information Security Program for a Distributed Enterprise

GUO Yong, CHEN Rong-sheng, ZHAN Gui-bao, ZENG Zhong-cheng, LU Teng-zu, LI Zhuang-xiang

(Fujian Xindong Network Technology Co., Ltd. Fuzhou 350003,China)

Abstract: Based on the specific conditions of the distributed enterprise, information security architecture in accordance with the relevant standards, a distributed enterprise information security planning principles and objectives. And based on the principles and objectives of the meeting, according to the organization, management and technical aspects of three specific design specifications with the principle. Finally, based on the objective of planning services, a category of information distributed enterprise information security services, planning and design examples.

Key words: distributed; information security; planning; program

1 引言

据来自eWeek 的消息,市场研究机构Gartner 研究报告称,很对企业目前仍缺乏完整的信息安全规划和规范。尽管目前很多企业在信息安全方面的投入每年都在缓慢增长,但由于推动力以外部法律法规的约束和商业业务的压力为主,因此他们对安全技术和服务的选择和使用仍停留在一个相对较低的水平。尤其对于机构构成方式为分布式的企业而言,因为信息安全需求和部署相对更加复杂,投入更多,因此这类企业的信息安全规划就更加缺乏。

本文根据这类分布式企业的特点提出了一种符合该类企业实际的信息安全规划方案

2 总体规划原则和目标

2.1 总体规划原则

对于分布式企业的信息安全规划,要遵守如下原则:适度集中,控制风险;突出重点,分级保护;统筹安排,分步实施;分级管理,责任到岗;资源优化,注重效益。

这个原则的制定主要是根据分布式企业的实际机构构成情况、人员素质情况以及资源配置情况来制定的。

2.2 总体规划目标

信息系统安全规划的方法可以不同、侧重点可以不同,但是需要围绕组织安全、管理安全、技术安全进行全面的考虑。信息系统安全规划的最终效果应该体现在对信息系统与信息资源的安全保护上,下面将分别对组织规划、管理规划和技术规划分别进行阐述。信息安全规划依托企业信息化战略规划,对信息化战略的实施起到保驾护航的作用。信息系统安全规划的目标应该与企业信息化的目标是一致的,而且应该比企业信息化的目标更具体明确、更贴近安全。信息系统安全规划的一切论述都要围绕着这个目标展开和部署。

3 信息安全组织规划

3.1 组织规划目标

组织建设是信息安全建设的基本保证,信息安全组织的目标是:

1)完善和形成一个独立的、完整的、动态的、开放的信息安全组织架构,达到国际国内标准的要求;

2)打造一支具有专业水准的、过硬本领的信息安全队伍。对内可以保障企业内部网安全,对外可以向社会提供高品质的安全服务;

3)建设一个 “信息安全运维中心(SOC)”,能够满足当前和未来的业务发展及信息安全组织运转的支撑系统,能够对外提供安全服务平台。

3.2 组织规划实施

对于组织规划这个方面,是属于一个企业信息安全规划的上层建筑,需要用一种由上而下的方法来实现,其主要是在具体人事机制、管理机制和培训机制上做工作。对于分布式企业而言,需要主导部门从上层着手,建章立制,强化安全教育,加大基础人力、财力和物力的投入。

4 信息安全管理规划

4.1 管理规划目标

信息安全管理规划的目标是,完善和形成“七套信息安全软措施”,具体包括:一套等级划分指标,一套信息安全策略,一套信息安全制度,一套信息安全流程规范,一套信息安全教育培训体系,一套信息安全风险监管机制,一套信息安全绩效考核指标。“七套信息安全软措施”关系如图1所示。

4.2 信息安全管理设计

基于对管理目标的分析,信息安全管理的原则以风险管理为主,集中安全控制。管理要素由管理对象、安全威胁、脆弱性、风险、保护措施组成。

4.2.1 信息安全等级划分指标

信息安全等级保护是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化健康发展的基本策略。

4.2.2 信息安全策略

信息安全安全策略是关于保护对象说明、保护必要性描述、保护责任人、保护对策以及意外处理方法的总和。

4.2.3 信息安全制度

信息安全制度是指为信息资产的安全而制定的行为约束规则。

4.2.4 信息安全规范

信息安全规范是关于信息安全工作应达到的要求,在信息安全规范方面,根据调查,建立信息安全管理规范、信息安全技术规范。其中,安全管理规范主要针对人员、团队、制度和资源管理提供参照性准则;信息安全技术规范主要针对安全设计、施工、维护和操作提供技术性指导建议。

4.2.5 信息安全管理流程

信息安全流程是指工作中应遵循的信息安全程序,其目的是减少安全隐患,降低风险。

4.2.6 信息安全绩效考核指标

信息安全绩效考核指标是指针对信息安全工作的质量和态度而给出的评价依据,其目的是增强信息安全责任意识,提高信息安全工作质量。

4.2.7 信息安全监管机制

信息安全监管机制是指有关信息安全风险的识别、分析和控制的措施总和。其主要目的加强信息安全风险的控制,做到“安全第一,预防为主”。

4.2.8 信息安全教育培训体系

其主要目的加强的信息安全人才队伍的建设,提高企业人员的信息安全意识和技能,增强企业信息安全能力。

5 信息安全技术规划

5.1 技术规划目标

信息安全技术规划目标简言之是:给业务运营提供信息安全环境,为企业转型提供契机,构建信息安全服务支撑系统。具体目标如下:

1)打造信息安全基础环境,调整和优化IT基础设施,建立安全专网,设置两个中心(信息安全运维中心、灾备中心);

2)建立一体化信息安全平台,综合集成安全决策调度、安全巡检、认证授权、安全防护、安全监控、安全审计、应急响应、安全服务、安全测试、安全培训等功能,实现的集中安全管理控制,快速安全事件响应,高可信的安全防护,拓展企业业务,开辟信息安全服务新领域。

5.2 信息安全运维中心(SOC)

SOC 是信息安全体系建设的基础性工作,SOC 承载用于监控第一生产网的安全专网核心基础设施,提供信息安全中心技术人员的办公场所,提供“7×24”小时连续不断的安全应用服务,提供实时监控、远程入侵发现、事件响应、安全更新与升级等业务,SOC 要求具有充分保障自身的安全措施。除了SOC 的组织建设、基础工程外,SOC 的技术性工作还要做以下几个方面:

1)硬件基础建设,主要内容是SOC 的选址、布局、布线、系统集成,实现SOC 自身的防火、防潮、防电、防尘、安全监控功能;

2)软件基础建设,包括SSS 系统、机房监控子系统、功能小组及中心组划分。

图1 信息安全软措施关系

图2 信息安全总体框架

图3 资产、组织、管理和安全措施的关系

5.3 信息安全综合测试环境

随着分布式企业信息化程度的日也加深,需要部署到大量IT 产品和应用系统,为了保障安全,必须对这些IT 系统和产品做入网前安全检查,消除安全隐患。基于此,综合测试环境建设的内容包括:安全测试网络;测试系统设备;安全测试工具;安全测试分析系统;安全测试知识库。

其中,安全测试网络要求能够模拟企业网络真实的带宽;测试系统设备能够提供典型的网络服务流量模拟、典型的应用系统流量模拟;安全测试工具覆盖防范类、检测类、评估类、应急恢复类、管理类等,并提供使用说明、漏洞扫描、应用安全分析;安全测试分析系统能够提供统计分析、图表展现功能;安全知识库包含以下内容:漏洞知识库,补丁信息库,安全标准知识库,威胁场景视频库,攻击特征知识库,信息安全解决案例库,安全产品知识库,安全概念和术语知识库。

5.4 安全平台建设规划

参照国际上PDRR 模型和国家信息安全方面规范,建议信息安全总体框架设计如图2所示。

主要目的,以资产为核心,通过安全组织实现资产保护,以安全管理来约束组织的行为,以技术手段辅助安全管理。其中,资产、组织、管理、安全措施的关系如图3所示,核心为资产,围绕资产是组织,组织是管理,最外层是安全措施。

在平台中集成十个安全机制,它们分别是:信息安全集中管理;信息安全巡检;信息安全认证授权;信息安全防护;信息安全监控;信息安全测试;信息安全审核;信息安全应急响应;信息安全教育培训;信息安全服务。

6 信息安全服务业务规划

6.1 服务业务规划目标

信息安全服务业务规划目标简言之是:以信息安全服务为切入点,充分发挥企业优势资源,引领信息安全市场,为企业转型创造时机。具体目标如下:

1)推出面向客户安全(检查、教育、配置)产品;2)推出面向大型企业的信息安全咨询产品;3)推出面向家庭安全上网产品;4)推出面向企业安全运维产品;5)推出面向企业灾害恢复产品。

6.2 服务业务规划设计

服务业务规划主要针对具体业务而言,在此列举信息类分布式企业业务作为示例:

1)信息安全咨询类产品,其服务功能主要有:信息安全风险评估;信息安全规划设计;信息安全产品顾问。

2)信息安全教育培训类产品,其服务功能主要有:提供信息安全操作环境;提供信息安全知识教育;提供信息安全运维教育。

3)家庭类安全服务产品,其服务功能主要有:推出“家庭绿色上网”安全服务;家庭上网防病毒服务;家庭上网机器安全检查服务;家庭上网机数据备份服务。

4)企业类安全服务产品,其服务功能主要有:企业安全上网控制服务;企业安全专网服务;安全信息通告;企业运维服务。

5)容灾类安全服务产品,其服务功能主要有:面向政府数据灾备服务;面向政府信息系统灾备服务;面向企业数据灾备服务;面向企业信息系统灾备服务。

7 结束语

通过结合分布式企业的具体实际,按照信息安全体系结构相关标准,提出了分布式企业的信息安全规划原则和目标。并依据次原则与目标,按照组织、管理和技术三个方面提出了具体的实现与设计规范原则。最后,依据服务规划目标,提出了信息类分布式企业的信息安全服务规划设计实例。

参考文献:

[1] 周晓梅. 论企业信息安全体系的建立[J]. 网络安全技术与应用,2006,3:62~64,57.

[2] Harold F. Tipton,Micki Krause. Information Security Management Handbook[M]. Fifth Edition.US:Auerbach Publications,2004.

[3] 魏永红,李天智,张志. 网络信息安全防御体系探讨[J].河北省科学院学报,2006,23,(1):25~28.

[4] 张庆华. 信息网络动态安全体系模型综述[J].计算机应用研究,2002,10:5~7.

[5] ISO/IEC 15408,13335,15004,14598,信息技术安全评估的系列标准[S].

[6] BS7799-1,7799-2,ISO/IEC 17799,信息安全管理系列标准[S].

[7] BS7799-2,Information Security Management Systems-Specification With Guidance for use[S].

[8] 李玮. 运营商IT系统网络架构的安全域划分[J]. 通信世界,2005,30:41~41,45~45.

第2篇:企业信息安全方案范文

关键词:企业网络;网络安全;安全体系

前言

由于计算机与通信技术的快速发展,人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大,对社会的影响也日益增大,网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现,网络安全也变得日益重要。为了保证企业网络自身的安全性,必须采取有效的手段面对网络中的各种威胁[1]。

1 企业网络的威胁及其风险管理

企业网络的信息是自由传输的,尽管有各种各样的方式威胁着企业网络的安全,但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁,并根据这些威胁所导致的企业风险进行有效管理。首先,企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护,针对设备可以提供什么样的访问和怎么协调这样的工作。其次,评估需要进行网络安全保护的资源和财产。最后,分析所有对企业网络安全的可能威胁,并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失,它可以是偶然的,也可以是刻意的。威胁有很多方式,一般可以简单归纳为以下三种基本的类型:

1 未经授权的访问。指未经过授权的人员却可以访问网络资产,而且也存在对网络资产进行篡改的可能。

2 假冒。指由于伪造的凭证假冒其他人进行活动。

3 拒绝服务。指服务中断。

2 企业信息化的网络安全策略体系[2]

网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针,而且在内部网络的安全策略以及身份证明,从而为网络安全提供支持和认证。

2.1 安全策略的文档结构

a) 最高方针。是安全策略的主文档,属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。

b) 技术的规范与标准。其内容包含:各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。

c) 管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作,还能有效的推广及实行,是由最高方针引申而来,对用户协议具有规范作用。而用户协议对其不能违背。

d) 组织机构以及人员的职责。负责安全管理的组织机构以及人员职责,包含负责安全管理的机构的组织形式以及运作方式,还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性,需得到有效推广及实行。

e) 用户的协议。与用户所签署的文档及协议,包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定,并在违反安全规定时的处罚依据[3]。

2.2 建立策略体系

目前,大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系,制定出安全策略的系列文档。

建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系,其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前,由于企业中机构间的网络现状与业务情况的差别较大,所以在基本的策略体系和框架下,可以让各个机构以自身情况为基础,对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。

2.3 策略的与执行

企业网络安全的策略系列文档在制定完成后,必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外,而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前,还需要对每个员工进行相关的培训,以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作,需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工,工作的方式与流程可能还需要改变,所以其推行难度相当大;同时,安全策略的本身还可能存在这样那样的缺陷,例如太过复杂及繁琐、不切实际以及规定有所缺欠等,都会影响到整体策略的落实[4]。

3 企业信息化网络安全技术的总体方案

3.1 引入防火墙系统[5]

通过引入防火墙系统,可以利用防火墙功能中的“访问控制+边界隔离”,从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的,可以重点进行监控,以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动,当入侵检测的系统对数据包进行检测,发现异常并告知防火墙时,防火墙可以生成相应的安全策略,并将访问源拒绝于防火墙之外。

3.2 引入网络防病毒的子系统

防病毒的子系统是用来对网络病毒进行实时查杀的,从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力,提高企业网络层面安全性。

3.3 引入漏洞扫描的子系统

漏洞扫描的子系统可以定期分析安全隐患,并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统,还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统,如何确保众多信息的安全以及各类系统的稳定应用,便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描,并在定期扫描后提交漏洞和弱点分析报告,可使企业网的整体系统的安全性得以提高。

3.4 引入数据加密的子系统

对企业网重要的数据进行加密,以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据,可以使企业网络的整体安全性得以提高。

4 结语

通过以上对企业网络的安全和隐患进行的着重分析,提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛,所以对于企业网络安全的建设,需要遵循一个稳定的体系框架,同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数,进一步保证企业信息化在网络时代能够更安全、更健康的发展。

参考文献

[1] 顾晟. 企业信息化网络的安全隐患及解决策略[J].计算机时代,2010,3:19~22.

[2]丁国华,丁国强. 企业网络安全体系研究[J].福建电脑,2007,2:66~67.

[3]陆耀宾. 企业网络安全体系结构[J].电子工程师,2004,4:55~56.

第3篇:企业信息安全方案范文

关键词:数据保障 帐号管理 内容安全 安全预案

1.前言

随着信息化及网络建设的高速发展,网络给我们带来了前所未有的开放环境,在内部信息平台上,员工可以实时地进行信息传输和资源共享,企业之间的业务往来也越来越多地依赖于网络。由于受到互联网的开放性以及通信协议原始设计的局限性影响,网络安全性问题日益严重,网络攻击、非法访问、信息窃取等频频发生,给企业网的正常运转带来了安全隐患,甚至造成不可估量的损失,安全问题愈发突出,已经成为当今网络技术的一大热点。因此,必须利用信息安全技术来确保企业信息网络安全,这就要求我们采取有效手段提高企业信息门户的安全级别。

2.企业门户信息安全问题分类

造成企业门户信息安全的因素可以分为以下几类:

2.1系统崩溃

由于病毒恶意软件入侵、系统文件的丢失、数据的损坏、信息的改变等导致企业信息门户无法正常运作,系统运行不稳定,频繁出现故障,最终导致整个企业信息门户系统的瘫痪。

2.2内部威胁和无意破坏

在对可能影响企业安全的因素分析后可以看出,事实上,大多数系统威胁来自于企业网内部,来自企业内部员工和受信赖的客户等有权限进入系统的人。此外,一些无意的行为,如丢失口令、疏忽大意、非法操作等都可能对网络造成极大的破坏。据信息安全权威部门统计数据表明,来自企业内部的网络安全问题比例占总数的百分之七十以上。

2.3计算机病毒

计算机病毒,对企业信息门户的正常使用造成破坏,能够使信息系统无法正常使用甚至整个系统造成破坏,甚至对系统硬件造成损坏。计算机病毒可以很快地在信息门户系统内蔓延,它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。这种程序不是独立存在的,它隐蔽在其他可执行的程序之中,既有破坏性,又有传染性和潜伏性,轻则影响系统运行速度,使各用户端不能正常运行,重则使系统处于瘫痪,会给整个企业用户带来不可估量的损失。

2.4 环境因素影响

信息门户环境影响因素不可低估,正常情况下,企业信息系统服务器需要放置在宽敞、干燥的机房内,由专人定期进行设备维护和检查,防止因高温、潮湿、靠近火源、漏电、停电、震动等可能对系统硬件设备造成不必要的损坏。

3.企业门户信息安全解决方案

3.1. 数据安全保障

企业门户技术是为企业的信息系统提供稳定、可伸缩和可靠的安全基础和框架结构,对数据的备份就变得非常重要。我厂的信息门户日常管理和应用需要同时配备两套服务器,所负担的任务分别是:一台用来做前端web服务及CMS服务,另一台用来做数据库服务,另外还有两台同样配置的服务器用于数据备份,如果应用中的信息门户服务器出现问题,就及时切换到备份的信息门户服务器,保证信息门户工作的连续性和平稳性,从而使其对企业员工的使用影响降到最低限。

对数据备份可以利用SQL Server 2000提供的备份手段设置定时任务,选择在门户空闲的时候进行自动备份,也可以在每天的晚上进行增量备份,在周末进行完全备份,通过脚本将备份文件复制到特定的备份文件服务器上。在企业信息门户中,所有用户个人站点都存储在主门户之中,如同部门站点集一样,用户个人站点可以单独地使用Stsadm进行备份和恢复,它能够备份每一个部门级站点集合的信息。我厂门户备份和恢复的过程需要12小时左右的时间,WSS和CMS数据分别为大约25G和27G,每三个月和逢节假日都对门户系统做备份恢复操作,这样就能始终保证我厂信息门户正常使用。

在做好我厂企业信息门户日常安全维护基础上,为了能充分利用服务器资源,计划在2011年做门户数据负载均衡。

3.2. 帐户安全管理

为了加强PTR域用户帐户的管理,我们在实际管理中限定了用户帐户的门户访问权限,严格限制Administrator组和备份组帐户的成员资格。需要指明用户必须明确了解他们所用的计算机网络的使用规则, 按照谁主管、谁负责的原则落实责任制,并签定门户内容保障责任书,申请上因特网的用户执行审批流程,签定入网责任书,不允许用户将帐号转借给他人,用户应将自己的口令保密。目前,企业网用户都是从中石油帐号或本地系统这样的现有用户系统中派生出来的,现有门户的权限是根据谁是管理员,谁是维护者,谁是浏览者来添加入中石油帐号里的用户,按照不同等级的访问权限设置,创建权限组,并为所创建的权限组进行门户维护授权。

3.3. 信息安全保障

为了加强对厂企业信息门户内容的保障工作,保证信息的安全性和准确性,开展对企业门户栏目的全面清查,严格监督门户栏目的内容信息建设,严格执行栏目定期巡查制度, 各二级单位确保各栏目内容的信息安全,完善企业信息门户台帐,强化细节工作,切实做到分工明确,责任到人。

3.3.病毒防范

计算机病毒防护已经成为计算机系统安全策略中的重要手段,及时更新系统软件、补丁,堵塞信息门户系统安全漏洞,用杀毒软件定期对系统进行全面扫描,查杀病毒,清理垃圾文件、数据,可以有效提高企业信息门户系统的稳定性。

3.4.系统与设备监控平台

系统与设备动态监控平台能够实时监测信息门户,在信息门户出现问题情况时通过发送手机短信或邮件及时通知到门户管理员,这样在非上班时间门户系统出现问题时就能及时发现并进行处理。

3.5.严格执行信息流程

不良信息的网络传播会对企业的健康发展造成负面影响,因此,要对企业信息门户中的各类资源、信息的进行审核、审批,禁止在企业信息门户中的不良信息。

3.6.安全管理制度

针对产生安全隐患的原因制定相应的安全预案,包括数据丢失、病毒入侵、硬件受损、不良信息传播等,分别采取系统维护、数据备份、备用系统运行、过滤门户信息内容等安全保护措施,设立信息安全小组并针对不同情况进行反复演练,提高安全预案的可行性和熟练性。

4.结论

通过对数据的备份恢复技术和病毒防范保证了我厂信息门户系统的稳定性,有效控制用户帐户管理和信息审批流程杜绝了不良信息的出现,采用系统与设备监控平台监控门户是否正常运行,制订信息安全预案有效降低了系统出现问题的几率,通过编制完善的企业信息门户安全解决方案设计使我厂信息门户系统安全防范及运行稳定性得到了大幅提高。

参考文献

[1]中国石油科技与信息管理部企业信息门户系统管理员手册

第4篇:企业信息安全方案范文

1.1信息系统安全的重要性及其影响因素

企业信息系统是整个网络系统的重要组成部分,在整个开发过程中投入了大量的人、财、物力,企业信息系统中存放着企业的核心数据,一旦信息系统的安全受到威胁和破坏,就会给信息系统的使用者 带来不可估量的损失,甚至会严重影响到企业的发展。

1.2影响信息系统安全的因素

影响信息系统安全的因素虽然很多,但综合分析主要因素有以下几个方面:1)自然因素。周围环境的温度和湿度、尘埃、地震、火灾、水灾、风暴以及社会暴力等,这些因素将直接影响信息系统实体的 安全。2)硬件及物理因素。支撑信息系统的硬件部分是由电子元器件、磁介质等物理设备组成的。系统硬件及环境包括机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及信息存储介质的 安全与否直接关系到信息系统的安全。3)电磁波因素。信息和数据通过信息系统进行传输,在工作过程中都会产生电磁波辐射,在一定范围内很容易检测并接收到,这就容易造成信息通过电磁辐射而泄 漏。另外,空间电磁波也可能对系统产生电磁干扰,影响系统正常运行。4)软件因素。软件是支持信息系统正确运行,保障数据安全的关键部分。软件的非法删改、复制与窃取或被攻击、破坏将使系统 的软件受到损坏,并可能造成泄密。5)数据因素。信息系统是以处理数据、输出有价值信息为主要目的的。数据信息在存储和传递过程中的安全性,是信息系统安全的重中之重。6)人为及管理因素。 工作人员的素质、责任心、管理制度和法律法规是否健全,都直接对信息系统的安全造成威胁。

2信息系统的安全防护重点

为了保证信息系统的安全,根据信息系统的组成和运行特点,应重点做好计算机硬件、信息系统软件、信息系统数据、信息系统运行的安全防护及计算机病毒预防等重点工作。

2.1计算机硬件的安全与防护

计算机硬件的安全与防护,是为了保障信息系统安全可靠地运行,保护系统硬件和附属设备及记录信息载体不致受到人为或自然因素的危害而对信息系统进行的最基本的安全维护。要求企业必须建立与 信息系统的组成和运行特点相适应的机房设施、计算机主体、存储系统、辅助设备、数据通讯设施以及安全的信息存储介质。计算机除易受外界电磁干扰外,自身也产生携带大量信息的电磁辐射,所以 计算机在处理信息的过程中,也会导致信息的泄露问题。抑制和防止电磁泄漏是物理安全策略的一个主要问题。结合企业的实际情况,主要应采取的防护措施有以下两类:第一类措施是对传导发射的防 护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。第二类措施是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金 属屏蔽和各种接插件的屏蔽,同时对机房的各类管道和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射 来掩盖计算机系统的工作[1]。

2.2信息系统软件的安全与防护

软件是保证信息系统正常运行、促进信息技术普及应用的主要因素。保证信息系统软件的安全要做到以下几点:第一要使用正版软件,并对安装软件进行严格的安全检查。软件的安全管理首先是要对软 件,尤其是自行开发的软件进行全面测试检查。第二要对软件在运行过程中发现的错误进行及时修改、维护,不断扩充、完善和丰富软件的各项功能。第三要严格软件的操作运行规程。对操作用户赋予 一定的权限,没有相应权限的用户不能使用权限以外的系统资源。第四要建立严格的软件管理制度,妥善管理软件资源。对信息系统中的所有软件资源要造册登记,归类妥善保管。第五要做好系统备份 。系统备份用于故障的后备支援,是软件使用过程中安全与防护的重要措施。

2.3信息系统数据的安全与防护

由于数据是信息系统的中心,对于数据的安全管理就成为整个信息系统安全管理的核心。1)数据加密处理。加密是保障数据秘密性和真实性的重要方法,是数据安全保护的有效手段,也是抵抗计算机病 毒感染破坏、保护数据库完整性的重要措施。数据加密策略是从数据本源进行安全防护,根据加密技术的不同可以产生不同模式、等级的数据安全防护效果。2)网络加密。网络加密是目前能为任何形式 的Internet通信提供安全保障的协议。网络加密允许提供逐个数据流或者逐个连接的安全,所以能实现非常细致的安全控制。对于用户来说,可以对不同的连接定义不同保护强度(级别)的网络加密通道 。3)数据安全管理。具体的数据安全管理工作主要包括:防止数据信息的泄露;防止计算机病毒的感染和破坏;防止硬件出现故障,具备双机热备甚至多机热备功能,防止数据的人为破坏;防止电磁辐 射、意外事件等带来的威胁。4)数据备份。及时做好数据特别是重要数据的备份并做好备份后的定期检查和更新复制等工作,以保证备份数据的完整性、适用性和实效性。要根据实际需要,确定数据备 份的频率、以及备份介质上数据的保存时间。日常备份操作可以在晚间系统负载较轻时定时、自动、快速进行,对系统日间使用不会造成任何影响。

2.4信息系统运行的安全与防护

信息系统的运行安全管理是通过对系统运行状况的监控,及时发现不安全的运行因素,从而采取有效的安全技术措施,来保证信息系统的安全。首先,信息系统的安全运行,应以严密的系统组织控制为 前提。系统组织控制是为实现信息系统目标而进行的组织结构设计、权限安排和流程规范设计。因此,组织结构设计应结合企业流程特点、信息化程度、人员素质、风险类型与大小进行全盘考虑;围绕 系统最终目标,划分职能界限与任务权限,形成适应流程管理与控制的企业信息系统组织结构,并与员工信息的使用权限、决策权限相匹配。其次,要严格操作控制。严格操作控制是通过计算机操作规 程来保证信息系统对信息处理的正确程度,从而减少差错。主要应做好:1、对信息系统的使用进行理论和实作培训,以便及时正确掌握基础信息和含义,并能熟练运用;2、结合实际岗位工作特点,制 定不同的正确的操作规程并严格执行;3、随着信息系统的不断更新、升级,要不断的修订操作规程并及时进行培训指导。第三是不在系统内随便安装无关软件。安装与系统无关的软件,会占用大量的硬 盘空间,从而影响系统的执行效率。第四是定期检查硬盘。在系统运行过程中,必须定期检查系统的安全使用情况。因为通过检查可以确定硬盘运行是否正常,是否有故障出现以及硬盘上的文件读写是 否正常;通过定期检查整理,能够及时清理系统运行中的垃圾文件,提高系统运行效率。

2.5计算机病毒与防护

计算机病毒是指编制者在计算机程序中插入的破坏计算机功能或者毁坏数据以影响计算机使用,并能自我复制的一组计算机指令或者程序代码[2]。计算机病毒扩散性很强,又常常难以根除,它们能把 自身附着在各种类型的文件上,有时会替换正常的系统文件。当文件被复制或从一个用户传递到另一个用户时,它们就随同文件一起蔓延开来。主要特征:(1)非授权可执行性;(2)隐藏性;(3)传 染性;(4)潜伏性;(5)破坏性;(6)可触发性。根据计算机病毒的特点,应从以下几方面来做好工作,达到防治计算机病毒的最佳效果。一是要建立严格的访问体系。用户的访问控制可分为三个过 程:用户名的识别与验证;用户口令的识别与验证;用户账号的识别与验证。在这三个过程中,若其中任何一个不能通过,计算机系统就会将用户视为非法用户,阻止其访问。建立用户名、口令及账号 的识别与验证体系,严格控制用户访问,这是防范病毒入侵的第一道防线。二是要建立有效的病毒检测、阻挡和清除体系。如安装防火墙,检查网络之间流通的数据包,限制不符合安全策略要求的数据 通过,及时识别并阻挡病毒入侵[2]。三是要建立数据信息的加密体系。利用编码技术,对数据信息按密级进行加密,保证数据信息不易被读出和更改,从而保证数据的完整性。

第5篇:企业信息安全方案范文

随着现代化无纸办公要求的提高,相应的也就要求了现在企业办公离不开网络,便于办公的企业都自行建立了自己的企业内网,“企业自身处内网环境中,黑客难以入侵。但实际上,无线网络、众多智能设备(如手机、Pad等)为黑客提供了更多便利,而企业所信任的防火墙在黑客面前形同虚设。”知名企业信息安全顾问、国家企业信息安全最高认证(CISP)金牌讲师张胜生在讲座中对目前国内企业普遍缺乏企业信息安全专业团队,漠视企业信息安全的现状表示担忧。

2013年中央电视台播出的“棱镜门 ”一时闹的沸沸扬扬,棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年小布什时期起开始实施的绝密电子监听计划。美国情报机构一直在九家美国互联网公司中进行数据挖掘工作,从音频、视频、图片、邮件、文档以及连接信息中分析个人的联系方式与行动。监控的类型有10类:信息电邮、即时消息、视频、照片、存储数据、语音聊天、文件传输、视频会议、登录时间、社交网络资料的细节,其中包括两个秘密监视项目,一是监视、监听民众电话的通话记录,二是监视民众的网络活动。

该类事件也反应了关于企业及个人企业信息安全的问题。

1 企业信息安全管理基础

1.1 企业信息安全事件分析

统计结果表明,在所有企业信息安全事故中,只有20%-30%是由于黑客入侵或其他外部原因造成的,70%-80%是由于内部人员的疏忽或有意泄密造成的。站在较高的层次上来看信息和网络安全的全貌就会发现安全问题实际上都是人的问题,单凭技术是无法实现从“最大威胁”到“最可靠防线”转变的。

1.2 企业信息安全管理的需求

企业信息安全取决于两个因素:技术和管理。安全技术是企业信息安全的构筑材料,安全管理是真正的粘合剂和催化剂,企业信息安全管理是预防、阻止和减少企业信息安全事件发生的重要保障。

1.3 信息安全保障的内涵

信息安全保障要综合技术、管理、工程和人。应融入信息系统生命周期的全过程,目的不仅仅是保障信息系统本身,更应该是通过保障信息系统,从而保障运行于信息系统之上的业务系统、保障组织机构。信息安全保障不仅仅是孤立的自身的问题,更应该是一个社会化的、需要各方参与的工作,信息安全保障是主观和客观的结合。

2 企业信息系统安全系统结构组成要素

实现企业信息安全系统结构的安全,要从多方面考虑,通常定义包括安全属性、系统组成、安全策略、安全机制等4个方面。在每一个方面中,还可以继续划分多个层次;对于一个给定的层次,包含着多种安全要素。

2.1 安全属性

安全本身是对信息系统一种属性要求,信息系统通过安全服务来实现安全性。基本的安全服务包括标识与鉴别、保密性、完整性、可用性等。安全服务和安全机制的对应关系如下:5大类安全服务:身份鉴别、访问控制、数据保密、数据完整性、不可否认性及提供这些服务的8类安全机制及其相应的OSI安全管理等对应OSI模型的7层协议中的不同层,以实现端系统企业信息安全传送的通信通路。这样从安全性到安全服务机制到具体安全技术手段形成了安全属性的不同层次。

2.2 系统组成

系统组成描述信息系统的组成要素。对于信息系统的组成划分,有不同的方法。可以分为硬件和软件,在硬件和软件中又可以进一步地划分。对于分布的信息系统,可以将信息系统资源分为用户单元和网络单元,即将信息系统的组成要素分为本地计算环境和网络,以及计算环境边界。

2.3 安全策略

在安全系统结构中,安全策略指用于限定一个系统、实体或对象进行安全相关操作的规则。即要表明在安全范围内什么是允许的,什么是不允许的。直接体现了安全需求,并且也有面向不同层次、视图及原理的安全策略。其描述内容和形式也各不相同。对于抽象型和一般型安全系统结构而言,安全策略主要是对加密、访问控制、多级安全等策略的通用规定,不涉及具体的软硬件实现;而对于具体型安全系统结构,其安全策略则是要对实现系统安全功能的主体和客体特性进行具体的标识和说明,亦即要描述允许或禁止系统和用户何时执行哪些动作,并要能反射到软硬件安全组件的具体配置,如,网络操作系统的账号、用户权限等。

2.4 安全机制

安全机制是实现信息系统安全需求及安全策略的各种措施,具体可以表现为所需要的安全标准、安全?f议、安全技术、安全单元等。对于不同层次、不同视图及不同原理的安全系统结构,安全机制的重点也有所不同。例如:OSI安全系统结构中建议采用7种安全机制。而对于特定系统的安全系统结构,则要进一步说明有关安全机制的具体实现技术,如认证机制的实现可以有口令、密码技术及实体特征鉴别等方法。

3 企业信息安全攻防技术

3.1 恶意代码及网络安全攻防

3.1.1 恶意代码定义

恶意代码(Unwanted Code,Malicious Software,Malware,Malicous code)是指没有作用却会带来危险的代码。

恶意代码类型:二进制代码、二进制文件、脚本语言、宏语言。

3.1.2 恶意代码传播方式

移动存储、文件传播、网络传播、网页、电子邮件、漏洞、共享、即时通讯、软件捆绑。

3.2 恶意代码的防治

增强安全策略与意识:减少漏洞、补丁管理、主机加固、减轻威胁、防病毒软件、间谍软件检测和删除工具、入侵检测/入侵防御系统、防火墙、路由器、应用安全设置等。

3.3 恶意代码检测技术

3.3.1 特征码扫描

工作机制:特征匹配、病毒库(恶意代码特征库)、扫描(特征匹配过程)、优势、准确(误报率低)、易于管理不足、效率问题(特征库不断庞大、依赖厂商)、滞后(先有病毒后有特征库,需要更新特征库)。

3.3.2 恶意代码检测技术-沙箱技术

工作机制:将恶意代码放入虚拟机中执行,其执行的所有操作都被虚拟化重定向,不改变实际操作系统优势。

优点:能较好的解决变形代码的检测。

3.3.3 恶意代码检测技术-行为检测

工作机制:基于统计数据、恶意代码行为有哪些、行为符合度。

优势:能检测到未知病毒。

不足:误报率高。

难点:病毒不可判定原则。

3.3.4 恶意代码清除技术

恶意代码清除技术有:

(1)感染引导区型、修复/重建引导区。(2)文件感染型、附着型:病毒行为逆向还原、替换型:备份还原。(3)独立型:独立可执行程序:终止进程、删除。(4)独立依附型:内存退出、删除。(5)嵌入型。(6)更新软件或系统。(7)重置系统。

4 企业信息安全攻防技术常见的手段和工具

4.1 攻击的过程

4.1.1 攻击的过程

信息安全??中攻击方式有:信息收集、目标分析、实施攻击,留后门方便再次进入、打扫战场,清理入侵记录。

针对以上提到的行为了解其原理并考虑应对措施网络攻击的方式:(1)主动攻击:扫描、渗透、拒绝服务等。(2)被动攻击:嗅探、钓鱼等。

攻击过程的一些术语:后门、0-day、提权。

4.1.2 信息收集攻击的第一步

信息收集-攻击的第一步:获取攻击目标资料,网络信息,主机信息,应用部署信息,漏洞信息,其他任何有价值的信息,分析目标信息、寻找攻击途径,排除迷惑信息,可被利用的漏洞,利用工具。

4.2 收集哪些信息

目标系统的信息系统相关资料:域名、网络拓扑、操作系统、应用软件、相关脆弱性、目标系统的组织相关资料、组织架构及关联组织、地理位置细节、电话号码、邮件等联系方式、近期重大事件、员工简历、其他可能令攻击者感兴趣的任何信息。

4.2.1 信息收集的技术

(1)公开信息收集(媒体、搜索引擎、广告等)。(2)域名及IP信息收集(whois、nslookup等)。(3)网络结构探测(Ping、tracert等)。(4)系统及应用信息收集(端口扫描、旗标、协议指纹等)。(5)脆弱性信息收集(nessus、sss等)。

4.2.2 域名信息收集

在维护企业信息安全的过程中需要搜集域名信息:(1)NSlookup域名解析查询。(2)Whois 是一个标准服务,可以用来查询域名是否被注册以及注册的详细资料 Whois 可以查询到的信息。(3)域名所有者。(4)域名及IP地址对应信息。(5)联系方式。(6)域名注册日期。(7)域名到期日期。(8)域名所使用的 DNS Servers。

4.3 工具介绍

4.3.1 检索工具

基础检索工具:(1)TFN2K。(2)Trinoo。

4.3.2 电子欺骗的类型

(1)IP欺骗(IP Spoof)。(2)TCP会话劫持(TCP Hijack)。(3)ARP欺骗(ARP Spoof)。(4)DNS欺骗(DNS spoof)。(5)路由欺骗(ICMP重定向报文欺骗、RIP路由欺骗、源径路由欺骗)。

4.3.3 利用应用脚本开发的缺陷-SQL注入

SQL注入原理:SQL注入(SQL Injection):程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据或进行数据库操作。

4.3.4 SQL注入防御

防御的对象:所有外部传入数据、用户的输入、提交的URL请求中、参数部分、从cookie中得到的数据、其他系统传入的数据。

防御的方法:

白名单:限制传递数据的格式。

黑名单:过滤特殊字串:update、insert、delete等。

开发时过滤特殊字符:单引号、双引号、斜杠、反斜杠、冒号、空字符等的字符、部署防SQL注入系统或脚本。

第6篇:企业信息安全方案范文

一、电力企业信息网络面临的威胁

1、人为的无意失误现阶段,计算机使用用户的数量在不断的增加,但是计算机网络用户的安全意识是较为缺乏的,将自己的网络账号随意的与别人共享,加之网络的口令较为简单,操作人员的安全配置不当的问题也广泛的存在,这些因素的存在就容易导致网络出现安全漏洞。但是不是人为的故意行为引起这些因素的发生,而是在无意状态下造成的失误行为。

2、人为的恶意攻击电力企业的计算机网络的安全防护技术尽管已经很完善了,但道高一尺,魔高一道。威胁电力企业信息网络安全的因素还是广泛的存在,人为的恶意攻击是计算机网络安全的最大威胁,人为恶意攻击的存在的两种不同形式,包括主动攻击和被动攻击。主动攻击是指采取各种的手段破坏电力企业信息网络的安全,影响信息的完整性和有效性。被动攻击是对计算机网络信息的截获、窃取和破译是在不影响计算机运行的情况下,这个过程中机密信息的泄露是被动攻击形式。计算机网络信息的安全在主动攻击或被动攻击的攻击下都会对网络信息的安全造成一定的威胁,影响了计算机网络的安全性。

3、网络软件的漏洞和“后门”网络软件在设计时,通常会设置“后门”来方便编程人员的维护工作的开展,但是由于“后门”的设置,网络软件出现缺陷和漏洞的概率就会大大的增加了,黑客攻击的目标就会转移到有缺陷和有漏洞的网络软件上。尽管外人是不知道这些“后门”的存在,但是黑客和病毒会通过各种手段来发现这些“后门”的存在了,然后通过“后门”攻击网络软件,造成用户的网络信息被盗取,不利于网络技术的安全建设。

二、电力企业信息网络安放的加密技术和安全策略

1、网络信息的加密技术加密网络信息的处理,能够有效的保护网络数据、信息和文件的安全,网上数据传输的安全性也能够得到保证。现阶段网络机密的方法有很多,但是常用的就有三种,包括链路加密、节点加密和端点加密,通过应用这三种网络加密技术,源端到目的端、对源节点到目的节点之间的用户数据信息的安全保护得到了实现,网络节点之间链路信息的安全性也得到有效的保证。在常规的密码中,发信方和收信方的加密密钥和解密密钥是一模一样的,其保密性较强,在长期的使用过程中,对于人为的检验和攻击都得到了很好的承受,但对密钥的管理工作也需要加强,保证信息数据传送的途径是安全的,这是一个重要的因素来确保网络安全。防止非授权用户的窃听和入网的有效形式是网络密码技术的使用,还能够很好的防护恶意软件的攻击,能够有效的确保网络安全。

2、电力企业信息网络的访问控制策略网络安全防范和保护的主要策略是控制访问,保证网络资源不张永平被非法使用和非法访问是它的主要任务。网络系统安全维护的和网络资源的保护的主要手段也是控制访问策略的制定。

三、加强电力企业信息网络安全的措施

1、控制入网访问为网络访问提供第一层的保护控制就是入网访问控制的实行,具体的做法就是识别和验证用户的姓名和用户口令,网络信息安全保护控制的措施还有用户的缺省限制检查。控制入网访问中,用账户的建立是由系统的管理员来完成的,管理人员控制和限制普通用户的账号和登录服务器获取网络资源的同时能够掌握用户的的入网时间和在哪台机器入网的,进而网络信息资源的安全性就有所保障了。

2、网络的权限控制采取安全保护措施来处理网络非法操作就是网络的权限控制,哪些网络信息、文件和目录子目录可以被用户和用户组可以访问都是受到一定的限制。用户对这些资源信息、文件和目录的操作范围被制定。用户的划分归类可以根据访问权限,特殊用户和一般用户。由系统管理员根据用户的实际需要来分配是用户的操作权限。由审计用户来实现网络的安全控制和资源使用状况的审计。通过访问控制表的描述来实现用户对网络资源的访问权限。

3、目录级安全的控制用户对目录、文件和设备的访问,网络应该允许控制。用户对所有文件和子目录的有效是在目录一级指定的权限,对目录下的子目录和文件的权限,用户也可以进一步指定。共有八种控制访问目录和文件的权限,包括系统管理员权限、创建权限、写权限、文件查找权限、存取控制权限、读权限、修改权限和删除权限。指定用户进行适当的网络访问权限是又网络系统管理员的主要工作内容,用户对服务器访问的控制也是由访问权限的设置来实现。

4、网络监测和锁定的控制实施对网络的监控要由专门的网络管理员来实现,用户对网络资源的访问通过服务器也记录下来,服务器应该通过文字或声音报警的形式来提示用户所访问的网络是非法的,网络管理员的注意力就是被引起。网络服务器的自动记录装置能够记录用户的网络范文次数,不法之徒进入网络的次数也会不记录下来,在他们尝试进入网络系统的次数超过规定的数值之后,不法之徒的账户就会自动锁定。

5、控制防火墙网络防火墙的存在是网络安全的一层安全屏障保证,能够有效的阻止网络中黑客的访问和攻击,网络通信监控系统是通过防火墙来建立的,有利于隔离网络系统的内部和外部,对外部系统的入侵进行有效阻止。

四、结语

第7篇:企业信息安全方案范文

关键词:电力信息;网络安全;存在问题;防范措施

中图分类号: F407 文献标识码: A

前言:近几年,我国信息网络技术不断发展与完善,信息网络应用于社会各个领域,为提高企业工作效率与管理水平,信息网络已经成为电力企业信息交互、传输、共享不可缺少的部分。而研究电力系统信息安全问题、制定和实施电力企业信息安全策略、建立全方位、动态的电力信息系统安全保障体系,己成为当前电力企业信息化工作的重要内容。由于信息网络具有多样性、开放性等特点,往往会因为忽略某一环节而造成重大损失。

一、电力信息网络概述

电力信息系统是一个复杂的系统,它由分布于各级变电站、营配终端、调度机构、办公场所等通过或紧或松的联系构成。它所处环境包括各个调度机构的局域网、本地计算机系统以及电力系统所连接的行业外网。因而,简单来说,电力信息网络是电力企业内依赖于计算机及网络的业务系统和通信数据网络的统称。电力信息网络系统从功能上可以分为以下几个系统:

1.监控系统

电力信息网络的监控系统包括用于电网生产运行过程中的各个监控和控制设备以及用计算机与网络执行的业务处理设备智能终端。详细包括变电站、电网调度系统、输配电线路等的自动监控系统以及配电网、计算机保护和安全装置、及调度自动化网络系统、电能计量计费及电量实时检测控制系统。

2.管理系统

管理系统是有计算机、操作者以及其他设备组成的复杂系统,其主要功能是进行信息的收集存储、加工传递以及使用和维护,主要进行日常事务的管理操作。内容包括ERP、门户、财务管理、市场交易及营销管理、人力资源管理、变电站管理、配电网管理、输电网信息管理系统等。

3.数据网络系统

电力数据网络系统主要由电力信息数据网和电力调度数据网组成,隶属于电力专用网。电力调度数据网络指的是电力生产所用拨号网以及专门用于调度的广域网络。电力信息数据网指的是用于电力系统内部的公用网络,包含的范围非常广阔,除去生产及调度外,该网络均有覆盖。电力企业的信息网络包涵了各个电力单位,并通过电力专用网络来实现信息的上传和下载以及各个单位间的互相连接。

二、电力信息网络安全问题分析

当前国家的电力信息网络体系已经相对健全,而且具有较强的电力信息安全体系,可以将电力信息网络以及电力执行时进行实时控制,各级单位信息安全设备已安装调试到位,信息安全检查工作已规范。可是依旧会有许多电力单位对信息安全性不够关注,信息安全事件和信息泄密事件频频发生,还具有很多安全风险和问题。

1、部分员工缺乏安全意识

电力企业实现信息化建设使电力企业得到了很大的发展,但是由于电力企业信息化时间较短,部分员工缺乏信息网络的安全意识,对信息安全问题的重视程度不够,存在人为的安全隐患。

2、需进一步规范管理制度

虽然我国电力企业已经初步建立起统一的、规范的信息网络信息系统的安全管理相关规定,制定了相关安全防范措施和安全保护机制,但同样由于起步较晚,在一定程度上仍然对基层电力企业的信息网络安全工作缺乏详细的维护指导。

3、信息安全管理仍然存在不统一的现象

现在信息网络已应用到电力生产、管理和营销的各个方面,但是信息网络安全仍然按主管部门分属于两个单位,分为生产办公区和调度区,两部分安全区域各自执行各自的信息安全标准,没有实现信息安全的统一管理。

4、基层电力信息网络安全的基础设施不完善

信息网络的基础安全设施建设是信息网络安全的基础,而基层电力信息网络的安全设施仍然比较薄弱,使电力信息网络安全无法得到保障。

三、电力信息网络安全防范措施

信息网络安全要加强防范措施,只有制定出严格的防范措施,才能保障电力信息网络的安全运行。

1、要加强人员管理和培训,提高员工安全意识电力企业要定期开展内部信息网络安全培训,使员工增强信息网络安全防范的意识。电力企业要组织电力管理相关人员进行信息网络安全教育与培训,如部门负责人、用户、相关技术人员等,要求电力企业所有人员必须认识并严格遵守电力信息网络安全规定。

培养员工建立良好网络使用习惯,与工作无关的设备要禁止在企业电脑中使用。不允许在企业电脑安装盗版的软件和与工作无关的软件,严格执行“双机双网”,不允许内、外网混合使用,对电力信息网络开机口令和应用系统口令要定期进行修改,对屏幕要设置密码,对每台操作的电脑都要进行定期的杀毒和文件的备份工作等。只有提高企业所有人员的信息网络安全化意识.才能真正开展电力信息网络安全防范措施。

2、强化电力信息网安全管理

笔者认为一方面是要进行层次化管理模式。将电力信息安全网络进行层次化划分,每一层次进行隔离。另一方面是实行区域化管理模式。根据电力信息网络安全特点对电力企业信息进行划分为控制区、非控制、生产区、信息区等四大区域进行模式化管理。

3、通过不同的安全防护措施进行保护

为信息进行加密,密码作为信息领域的安全之琐,是一项非常实用的技术;为信息进行确认,为网络提供控制技术,目前一个较为成熟的信息确认技术以及网络安全控制技术需要以计算机网络开展为基础,对业务信息安全技术进行系统的策划;为计算机提供网络防病毒技术,计算机的病毒已经逐渐朝多元化、网络化等方向发展;微计算机提供防“黑客”技术,黑客大多针对的是信息系统网络以及主机内部具有的漏洞进行攻击;对数据进行备份,避免由于外界因素造成技术上的损失,让信息系统可以更加安全、数据可以更加可靠。

4、有效设置防火墙与入侵检测系统

防火墙可以有效防止恶意的入侵和攻击.是计算机系统自我保护的重要屏障。防火墙可以对各种软件进行识别,也可以对抵抗非授权的访问进行技术控制。内部的资源哪些可以被外界访问.外部的服务哪些可以被内部人员访问,都可以进行识别。防火墙的抗恶意攻击和免疫能力较强。可以对企业内部的网络进行划分VPN.对各个网段进行隔离。限制重点或者敏感部分的网络安全。入侵检测系统作为防火墙的补充,为网络提供了主动的保护功能。可以探测网络的流量中有可能存在的入侵、攻击或者滥用模式的发生。通过上述这些措施,进一步提升电力信息网络的安全。

第8篇:企业信息安全方案范文

【 关键词 】 企业;移动信息;安全;保密;设计

About Enterprise Mobile Information Security Scheme Design Discussed

Hu Zhao-xu 1 Liu Fang 2 Zhu Shang-jie 1 Wang Jin 1

(1.Petrochina Pipeline Company HebeiLangfang 065000;2.China Unicom Langfang Branch HebeiLangfang 065000)

【 Abstract 】 this paper mainly through the enterprise mobile information information security scheme design and specific security scheme, undertook an analysis to its, hope to find in favor of enterprise mobile information security and confidentiality of the optimal scheme.

【 Keywords 】 business; mobile information; security; confindential; design

1 企业移动信息安全方案设计

1.1 系统安全设计

1.1.1移动安全设计原则

第一,合规性原则:系统安全设计要符合国家法律法规及中国石油的信息安全政策,实现厂商、技术、产品整体合规。

第二,区域防护原则:根据移动应用数据的处理和传输过程,对其进行物理和逻辑多层次区域防护,以满足国家信息系统安全等级三级保护基本要求。

第三,统一规划、分布实施原则:规划统一的移动应用平台安全方案,配合企业移动应用试点、建设、推广三个阶段分布实施。

第四,保护现有投资原则:在集团现有的信息安全管理体系框架和安全技术架构基础上,根据移动应用安全的特点和管控要求进行安全功能细化和完善,保护集团现有投资。

第五,可扩展原则:在信息安全系统功能、容量、覆盖能力等各方面,系统安全架构要易于扩展,以适应业务快速变化对企业移动应用安全的安全管控要求。

1.1.2移动安全技术方案架构

第一,移动安全域划分:企业移动应用平台所涉及的信息资产具有不同的安全属性和价值,因而需要不同级别的安全保护。

第二,技术功能组件设计:结合信息安全等级保护要求以及信息安全技术架构参考模型ISO13335/15408,安全技术功能分为移动应用物理安全防护、移动应用安全网络安全防护、移动终端安全防护、移动应用安全防护、移动数据安全防护等安全防护子系统。

1.1.3方案特点分析

企业移动应用平台系统安全方案通过管理及技术控制措施的部署,对移动应用过程中的信息安全风险进行了有效的控制,实现了风险可识别、可控制、可化解的风险管理要求。通过移动管控系统,采用主动与被动相结合方式,对整个移动应用进行任何时间、任何地点、任何人、任何事件的监督、控制和审计。确保系统安全整体架构可充分满足了国家安全等保及集团信息保密的管理和技术控制要求,紧扣国家等保及集团保密相关政策,满足合规性要求。其一,紧扣相关政策,满足合规性要求;其二,针对移动安全特点,进行重点防护。

1.2 灾备方案设计

根据备份灾备需求分析,企业移动平台的灾备等级定义为六级,即数据零丢失和远程群集支持。企业移动平台的灾备方案、数据归档、同城备份、异地灾备组成多级的高可用和灾备方案,同时涉及到备份流程、恢复流程、介质管理等相关流程。

2 企业移动信息保密方案

企业保密方案主要分为几个部分,其中重点分析了信息的生成、使用与交换。

(1)信息生成:对企业移动应用平台信息资产按照集团信息保密要求进行分类、分级和标识,对不同安全级别的信息资产采取保护措施。

a管理方案

根据相关规章制度对企业移动应用平台涉及的集团公司三星级及以下商业秘密信息进行分类、分级和标识,并将秘密知悉范围限定在最小范围。

三星级商业秘密是对集团公司整体利益、运营安全和竞争优势产生严重影响的核心秘密,包括涉及国家能源安全的石油战略储备、油气管道建设、敏感区域油气勘探开发、重大海外发展战略、集团公司核心技术、重大经营管理决策、重大合资合作项目等事项的相关信息。

二星级商业秘密是对集团公司整体利益、运营安全和竞争优势产生一定影响的秘密,包括集团公司重要技术、重要经营管理、重要交易等事项的相关信息。

一星级商业秘密是对集团公司局部利益、运营安全和竞争优势产生影响的秘密,包括一般的技术和经营等事项的相关信息。

b技术方案

第9篇:企业信息安全方案范文

关键词:电力信息系统:安全防范;措施

中图分类号:F407.61 文献标识码:A 文章编号:

前言

随着近年来自然灾害的发生,在我国极大地破坏了国家电网公司的属下电网,造成多个地方发生大面积停电事故。电力信息系统如不能正常工作(如技术故障、遭受人为破坏、遇到自然灾害等),也将危及电网的安全运行。研究电力信息安全问题,开发相应的应用系统,设计出系统的安全防护方案,制定电力信息系统遭受外部攻击时的防范措施以及系统恢复措施等,进行信息安全应急预案是非常重要的。

1 电力信息安全存在的问题

国家电网已经构建了一个较完善的电力信息系统,并初步建立了电力信息系统的安全体系,实现了电力信息网络和电力运行实时控制网络的隔离,在网络间设置了防火墙,购买了网络防病毒软件,设有数据备份设备。但仍有很多单位没有网络防火墙,没有数据备份的观念,更没有对网络安全做统一长远的规划,信息网络中尚存在许多风险和问题。

(1)对计算机及信息网络的安全意识亟待提高。近年来计算机信息安全策略和技术取得了非常大的进展,但在电力系统各种计算机应用中,对信息安全的认识跟实际需要差距较大,对新出现的信息安全问题认识不足。

(2)缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一直非常重视,但目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。

(3)缺乏与电力行业特点相适应的计算机信息安全体系。近年来,计算机在整个电力系统的生产、经营、管理等方面应用越来越多。但是,在计算机安全策略、安全技术、安全措施、安全体系建设方面投入相对较少。

(4)计算机网络化必须面对外部的安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止意外破坏或者确保内部人员的安全控制。在连成广域网后,就必须要面对国际互联网上各种安全攻击,如网络病毒和电脑“黑客”等。

(5)脆弱的身份认证。电力行业中计算机应用系统基本上基于商用软硬件系统设计和开发,用户身份认证基本上采用基于口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用自己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中。如今,这种脆弱的安全控制措施已不能再用了。

(6)没有完善的数据备份措施。目前,很多单位仅选择一台工作站备份一下数据,没有完善的数据备份设备,没有数据备份策略,没有数据备份的管理制度,没有对数据备份介质的妥善保管。

2 电力信息安全的防护措施

鉴于电力信息安全的重要性,国家电网公司及其属下各单位应制定一系列相关的防护措施,以保证电力信息系统的安全。

2.1建立电力信息安全体系的防护框架

应结合我国电力工业的特点和企业计算机及信息网络技术应用的实际情况,建立电力信息安全体系的防护框架(见图1)按照信息业务功能,电力信息系统可以划分为3层:第一层为自动化系统;第二层为生产管理系统;第三层为电力信息管理系统。针对电力信息业务的这种层次结构,电力信息安全体系的防护框架采用分层、分区进行防护。①进行分层管理,按照电力信息业务的3层功能,层间使用隔离装置实施网络间隔离。② 进行分区管理,将电力信息业务的3层功能与电力信息网结构对应起来,具体又可以分成实时控制区、非控制生产区、生产管理区和管理信息区4个区。各区之间使用网络物理隔离设备进行网络隔离,对实时控制区等关键业务实施重点防护,并采用不同强度的安全隔离设备使各安全区中的业务系统得到有效保护。

2.2采用各种安全防护技术措施

(1)信息加密技术。密码技术是信息安全领域的一种基本实用且非常重要的技术。密码技术主要分对称密码技术(如DES算法)和非对称密钥技术(也叫公开密钥技术,如RAS算法)。

(2)信息确认和网络控制技术。当前,成熟的信息确认和网络安全控制技术主要包括身份认证、存取控制、数据完整性、防止否认、防火墙技术,这些技术都是基于计算机网络开展的,涉及业务信息安全的主要技术,应根据电力企业业务系统的性质、任务,制定最优控制策略。

(3)计算机网络防病毒技术。计算机病毒已经向网络化、多态化、灾难化发展,应在省公司及区域电网建立计算机防病毒网络中心,实施网络化管理。

(4)防“黑客”攻击技术。“黑客”主要针对信息系统网络和主机存在的一些漏洞进行攻击。按照计算机应用环境及业务重要程度,制定相应的防“黑客”攻击措施,重点是要检测系统信息安全漏洞予以及时解决。对特别重要的系统(如电力实时运行控制系统)应采用物理隔离措施。

(5)数据备份与灾难恢复技术。采用多种备份措施,按重要程度确定数据备份等级,配置数据备份措施,建立省级和区域数据备份中心,采用先进灾难恢复技术,保证信息系统可靠性和数据完备性。

2.3加强各种安全防护管理措施

(1)人员管理。要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网络机密泄露,尤其要防范人员调离时的网络机密泄露。对网络设备、服务器、存储设备的操作要履行签字许可制度和操作监护制度,杜绝误修改和非法修改。

(2)密码管理。对各类密码要妥善管理,杜绝默认密码、出厂密码、无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。

(3)技术管理。主要是指各种网络设备、网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。

(4)数据管理。数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。

(5)安全管理。建立电力系统信息安全各种标准、规范与制度。在安全组织,运行操作管理、场地与设施管理、操作系统与数据库、应用系统等方面进行安全管理。

2.4 建立完备的电力信息系统监控中心

为保证电力系统信息安全,建立一个综合、统一的信息安全监控中心是十分必要的。该监控中心设在各级信息网管中心,将各项信息安全应用技术有机进行整合,无论出现什么可能影响信息安全问题,均可尽快解决。对可能出现的异常或故障,按监视系统所提供信息,及时提出预防措施,消除可能发生问题的条件,防止发生系统异常或故障。

2.5 制订必要的应急措施

可根据国内外发生过的网络信息安全的案例,结合国家电网信息系统当前运行状态和可能存在的问题,设计安全应急措施,部署安全应对机制,奠定紧急控制的基础。一旦发生电力信息安全事件,可根据预防控制设定的安全应急措施,立即启动相应的安全机制,减小安全事件的波及范围,避免造成更大的损失。国家电网的黑启动方案就是一个很好的例子。

3 结束语

电力信息安全是电力系统安全运行和对社会可靠供电的保障,是一项涉及电网调度自动化、继电保护及安全装置、厂站自动化、配电网自动化、电力负荷控制、电力市场交易、电力营销、信息网络系统等有关生产、经营和管理方面的多领域、复杂的大型系统工程。电力信息的不安全,会造成电力系统的生产经营和管理巨大的损失。各电力企业应积极吸收国外信息安全领域的丰富经验和先进技术,结合各自电网的特点,建立完善的电力信息安全防护体系和监控中心,研究出相应的安全策略,制定相关的技术措施和管理措施,确保电力信息系统以及电力系统安全、可靠、稳定、高效的运行。

参考文献:

[1] 牛慧斌,李骏仁.企业内部网络信息安全与防御对策分析[J].网络通信与安全,2007(2):338―339.