前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的公司信息安全建设主题范文,仅供参考,欢迎阅读并收藏。
关键词:信息安全;信息科技风险;管理体系
1信息安全建设现状
现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。
2信息安全建设存在的问题
2.1管理制度建立不完善
目前,在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。
2.2信息安全意识不强
职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。
3信息安全建设工作思路
随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:
3.1分析差距,完善内审监控管理体系
按照信息安全管理体系ISO27001标准梳理现状,认真分析研究,查找存在的差距,制定信息安全内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室,定期组织信息安全内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。
3.2安全防控,建立风险上报长效机制
依据CIA属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的安全风险,提出相应的安全措施并制定整改计划。另外,建立风险点上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。
3.3强化意识,紧抓信息安全管理
针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。
3.4抓好关键,确保信息安全工作无死角
关键词:地市烟草;网络安全;技术;管理
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 02-0000-02
烟草行业自1985年有了第一台计算机以来,经过20多年行业信息化工作者孜孜不倦的努力,行业的信息化建设工作取得了长足的发展,建立了涵盖行业各个方面工作的完备的信息网络,为行业工作的便捷开展提供了可靠的信息化助力,为“卷烟上水平”做出了应有的贡献。但不可否认的是,在信息化建设之初,由于经验的缺乏及技术的限制,没有形成一个具有远见性及科学性,能与行业整体业务发展战略紧密融合的信息网络安全建设战略,导致多年来行业信息网络安全建设工作缺乏统一的导向和组织,虽然各省烟草公司都制定并出台了计算机网络建设与管理规范,指导各地市的信息网络建设,但因为制度出台时间较短,及网络改造需要流程与时间,可以说目前各地市网络安全建设水平仍不够理想,信息网络安全建设发展至今,越来越多的困难与矛盾开始逐渐凸显。
一、地市烟草公司信息网络安全建设现状
地市烟草信息网络是构成全省烟草信息网络的个体,因此地市信息网络安全建设水平便直接关系全省信息网络建设水平,是构成全省信息网络安全建设的一环,就像构成木桶的一板,依据管理学上“木桶效应”的短板理论,木桶的盛水量由构成木桶的最短的一板决定,当有一个地市信息网络安全建设水平大大低于平均水平,就将大大拉低全省烟草信息网络整体安全防护水平。可以说全省烟草的信息网路安全建设必将是环环相扣的,一环均不得松懈,一环均不得落后。
地市信息网络安全建设关系到全行业主干的网络的安全与稳定,而信息网络环境的复杂性、多变性以及系统的脆弱性、开放性和易受攻击性,决定了信息网络安全威胁的客观存在。当行业人员在享受着信息网络给日常办公带来便利性的同时,信息网络安全问题也日渐突出,信息网络安全建设形势日益严峻。结合地市烟草实际情况分析总结(某地市烟草信息网络安全结构图如下),以及笔者日常的实际工作体会,主要可以总结出当前地市烟草信息网络安全建设还主要存在着以下几方面问题:
(一)将信息网络安全建设理解为单纯的安全设备采购
经过多年的信息化网络安全建设投入,一种简单的理念容易令一些行业信息化工作从业者产生误解,即所谓的信息网络安全建设就是网络安全设备的采购,只要网络安全设备采购部署到位,信息网络安全便高枕无忧,从一定角度来说,这种观点并没有错误,随着信息技术的发展,日益先进强大的网络安全设备层出不穷,人性化的操作界面也使得设备使用与配置变得不再困难,对信息网络安全起到很好的保障。各地市烟草公司也在逐年增加着安全设备的采购数量,网络安全随着安全设备的增加看起来已经不再是问题。但实际情况是这样吗?在实际情况中我们仍然会发现,地市烟草在重视网络安全设备采购的时却较为忽视对网络安全设备采购的前期规划,导致亟需网络设备没有得到采购,或者采购的安全设备没有得到很好的实施。造成重复投资及资产浪费的局面,同时设备上线实施后期的运行维护及更新升级,随着时间的流逝,人为的懈怠与忽视,都导致购买的安全设备没有起到最大的作用。
(二)信网络安全建设偏重技术钻研,忽略日常管理
信息网络安全不能完全依赖技术手段来解决,更多的需要从信息安全日常管理上入手,毕竟信息网络的使用者是人,只有对人的管理到位,才能保证在技术手段搭建的网络安全保障平台下不出现人为操作引发的漏洞。当前地市信息化工作从业者在对信息安全技术钻研方面投以了很大的热情,但对信息网络安全日常管理方面却显得无能为力,或者说掌控能力还不够,虽然制定并颁布了涵盖网络安全各方面的信息化制度,但相关制度却没有得到很好的贯彻执行,很多制度名存实亡,而行业各级员工良好信息网络安全使用习惯始终没有得到养成,信息安全问责机制得不到很好实施,同时而信息中心作为相关信息安全管理制度的制定者,受限于部门职能及自身管理水平所限,导致对制度执行的监督管理能力低下。而在信息网络安全管理不力的情况下,致使再强大的技术防护都无法避免管理缺失形成的隐患。
(三)信息网络安全建设重视对外防护,忽视对内防护
当前网络安全建设更多的针对外来攻击的防护,而忽视对内的安全防护,更多的是在网络边界搭设安全设备抵御从外部而来的非法入侵及非法访问,而针对内部终端用户的审计及跟踪则较为缺失。根据统计结果标明,99.9%的网络安全事件来源于网络内部,而只有0.1%安全事件来自于外部,绝大多网络安全事件来自于以内部客户端为跳板进行的网络攻击。当企业内部存在有恶意的攻击者,他们就能较好的规避防火墙等安全设备的安全策略,并把安全策略转向对于他们有利的一面,对内部网络进行攻击。同时外部的黑客,也能通过木马,能让内部用户运行他们指定的程序,操纵主机,窃取数据,这些都源于当前的信息网络建设对来自网络内部攻击防护较为薄弱,同时对内部网络准入控制把控力度做得较为不足,虽部署有桌面终端管理系统,但在相应策略部署上,没有及时到位,而该系统特殊的技术阻断方式,也在一定程度容易导致其阻断率无法达到100%。
(四)网络安全建设应急机制不健全
目前地市信息网络安全建设更多的是重视的日常安全巡检等日常检查工作,但是对网络突发事件的应急处置则较为欠缺,地市网络安全建设应急机制建立不健全,缺乏相应网络事故应急预案及相关演练,对突况的应变不熟练,导致出现突发的网络安全事故时则会变得手忙脚乱,无法很好应对突发事件带来的异常,促使事故造成的损失愈发严重,同时没有良好的容灾备份机制,一旦信息安全事故发生,是否能快速有效的恢复关键数据成为疑问。
二、针对当前网络安全建设现状的一些建议
针对当前地市烟草信息网络安全建设过程中存在的问题,通过一定的分析总结,参照最新的技术规范及管理理念,以及上级的制度规定,我们试提出以下几条改进建议,以达到全面提升信息网络安全建设实用性、科学性、全面性、稳定性的效果,具体如下:
(一)加强网络安全设备采购的前期规划及合理配置实用
网络安全设备的采购应加强前期规划及需求分析工作,不能无目的,无原则的一味追求高新设备,当前的现状是各地市对网络安全的设备采购均存在着档次及匹配性问题,存在过大及追高的弊病,形成投资浪费,同时由于项目管控能力较弱,前期规划不足,购置的设备在配置实施后等不到很好的使用,或起不到原先预想的效果。因此要加强项目前期规划,做好需求调研与需求分析工作,对网络安全设备应起到的效果及采购设备级别有准确的预估,加强采购项目的整体实施管控,并重点关注设备采购后的实施上线工作,做好安全策略的制定和部署,要充分利用设备、活用设备,充分达到应起的效用,在设备正式上线运行后,要做好安全防护策略的及时更新与修订,作好安全设备的日常巡检工作,保证安全设备始终发挥作用,而不是上线运行一段时间后就闲置不管。通过对购置网络安全设备活用、善用,提升资产投资价值,搭建坚固稳妥信息网络安全环境,促进信息网络安全建设的实用性。
(二)建立完善的信息网络安全日常管理体系
加强网络安全建设的日常管理工作,应以培养员工的良好的网络安全习惯为工作重点。所谓信息网络安全建设“三分技术,七分管理”,管理到位,信息网络安全建设也将事半功倍。一味单纯的依靠技术进行网络安全防护,而管理上存在漏洞,再强大的技术也将一无所用。好的技术,加上完善严密的管理,才能确保信息网络安全、坚固、稳妥。因此要注重建立完善信息安全管理保障体系,加强安全监管和信息安全等级保护工作,要对网络设备的安全性和信息安全专用产品实行强制认证。同时在加强对员工日常信息安全理念培训的同时,要与接入网内的计算机终端使用者签订信息安全责任状,树立“谁使用、谁负责”、“谁管理、谁负责”的信息安全理念,严格落实信息安全责任制,确保员工不敢轻易触碰信息安全底限,养成良好信息网路安全使用习惯。通过建立全面多级信息网络安全管理体系,增进信息网络建设的科学性。
(三)加强信息网络安全建设对内防护工作
地市公司目前均在互联网出口及边界架设了硬件防火墙等安全设备,但由于防火墙的特殊技术架构,其对内部通过防火墙外部的数据是不进行检测的,这就导致黑客可以利用内网主机上的后门程序,建立隐蔽信道,攻破防火墙,因此其在抵御外部攻击上起到较好作用,但面对来自网络内部的攻击就显得束手无策,针对这一情况,在进行信息网络安全建设的同时,应重点加强信息网络安全的内部防护工作,而加强对客户端的上网行为审计及网络准入控制,就成了加强信息网络内部安全建设的必然选择。客户端接入网络的同时,通过对其安全状况及授权情况进行检测,只有安全状况符合要求,得到合理授权的客户端才能正常接入办公网络。应在互联网出口处,防火墙之前,部署上网行为管理设备,对客户端出互联网的数据进行检测及筛选,降低客户端进行危险的互联网访问,感染病毒,遭受攻击的分险。通过加强信息网络安全建设的内部防护,提升信息网络安全的全面性。
(四)加强信息网路安全建设应急机制建设及演练
要加强信息网络安全建设的应急机制建设,加强应急预案的实施演练,增强对网络安全突发事件的应急处理能力。每年应进行定期仿真度高的应急方案演练,模拟网络安全事故发生时可能发生的情况,进行针对性演习。在方案演练前,要做好演练前期的方案策划,演练过程的完全记录,演练过后的总结分析工作。并以此来不断改进现有的应急预案。同时应做好容灾备份工作,进行关键网络设备的冗余配置及重要数据库的备份工作,确保发生突发事件后,能够及时进行网络及数据恢复工作,将突发事件带来的影响降到最低,不过多的影响正常办公业务的开展,确保信息网络安全的稳定性。
四、结束语
烟草是个比较特殊的行业,在专卖体制下实行“统一领导?垂直管理?垄断经营”,处于一种行政限产型的垄断状态。行业的特殊性要求我们必须克服特殊体制带来的缺陷,高效的开展行业信息化建设工作。地市信息网络安络,作为全省信息网络的组成部分,其信息安全建设水平决定了全省信息网络安全性与稳定性,其重要性不言而喻,只有重视信息网络安全建设,重视当前信息网络安全建设过程中发现的问题,通过科学的规划,合理的布局,周密的实施,去逐渐改变当前的不利局面,才能确保信息网络安全建设的科学性、全面性、稳定性与实用性,确保日常信息网络的平稳运转,为全行业的快速发展提供稳定强大的信息化助力!
参考文献:
[1]福建省烟草公司.计算机网络建设与管理规范[Z].2012.
[2]卢昱,王宇.信息网络安全控制[M].北京:国防工业出版社,2011.
关键词: 县级供电企业;信息网络;安全体系;安全建设
中图分类号:C29 文献标识码:A 文章编号:
前言
随着电力信息网的互联和完全溶进Internet,电力信息网络面临日益突出的信息系统安全问题。国家电力产业体制开始向市场转变,各级供电企业纷纷建立信息系统和基于Internet的管理应用,以提高劳动生产率,提高管理水平,加强信息反馈,提高决策的科学性和准确性,提高企业的综合竞争力。目前我国电力企业网络安全建设的发展很不平衡,总体来看,存在以下薄弱环节。因此,必须采取更加科学有效的方法和思路,加快县级供电企业网络建设及网络安全建设的步伐。
1 县级供电企业信息网络安全防范体系概述
1.1 安全策略
总的来说,其基本策略包括网络系统的防护策略、对主机的防护策略、对邮件系统的防护策略、对终端的防护策略、对数据安全的防护策略以及建立集中控制平台等。
1.2 安全技术
从技术的层面上,则是通过采用包括建设安全的主机系统和安全的网络系统,同时配备适当的安全产品的方法来实现,其包括了病毒防护、访问控制、入侵检测、漏洞扫描、数据加密、数据备份以及身份认证等这些方面。
1.3 安全培训
通过在线模拟考试功能和题库,实现对培训记录、培训师资队伍、培训资料以及考试成绩的电力化管理,并对培训结果进行在线统计分析。
2 县级供电企业信息网络整体安全建设
2.1 物理层安全建设
物理层安全建设主要保护的是通信线路、物理设备以及机房的安全等三大方面。从技术上,可以进行对设备的备份、防灾害和防干扰的能力、设备的运行环境的调配以及保持电源的正常使用等这些方面。
2.2 网络层安全建设
网络层安全建设所指的是网络方面的安全性建设,它可以通过实行身份认证、访问控制、数据的完整性和保密性、域名系统及路由系统的安全、入侵检测及防火墙等技术来实现。
2.3 系统层安全建设
系统层安全建设所指的是在进行网络使用时,关于操作系统安全的建设。对于系统自身而引起的系统漏洞可以通过身份认证、访问控制、系统漏洞修复等手段来进行。
2.4 用户层安全建设
用户层安全所指的是对用户使用的过程中所存在的安全建设。用户层安全技术包括分组管理、单口令的登录的方式及用户身份认证等主要方面。
2.5 管理层安全建设
管理层安全建设主要是通过供应商使用应用软件和数据的安全性的建设,包括对Web服务、电子邮件系统、DNS等方面进行优化。此外,还包括病毒对系统的威胁。
2.6 数据层安全建设
首先应考虑对应用系统和数据进行备份和恢复措施,应用系统的安全涉及到数据库系统的安全,数据库系统的安全性很大程度上依赖于数据库管理系统,如果数据管理系统安全机制非常强大,则数据库系统的安全性就较好。
在以上的各个层面上,每个层面都应该有不同的技术来达到相应的安全保护。如表1所示。
表1 根据安全层面技术来进行县级供电公司信息网络整体安全建设
3 县级供电企业如何有效进行信息网络安全体系建设
(1)整合现有系统,实现生产实时信息与管理信息的集成,建立电网信息一体化平台。看似简单的数据交换和信息共享,由于没有统一的信息平台,形成企业信息化发展的瓶颈。县级供电企业以后的重点工作是整合、集成现有的各子信息系统,搭建统一的运行平台,规范、整理、合并各种基础数据,逐步建立集中、统一、开放式中心数据库,实现各信息系统的无缝连接。对县级供电企业网络来讲,网络整体稳定性要求非常高,网络应该提供多种冗余备份的方式,确保业务的连续。在县局网络平台搭建好之后,这要考虑到未来系统的扩展性。县级供电企业的信息化建设是一项复杂的系统工程,只有以企业效益为核心,通过构建统一的信息化基础平台,部署企业一体化应用系统,才能适应县域经济发展,满足人民群众对电力的需要,才能提高企业的核心竞争力,才能信步于未来的信息化发展之路。并以信息化带动企业内部管理机制的改革,实现机制创新、管理创新、技术创新,努力发挥信息化对企业可持续发展的支撑作用。
(2)运用现代网络技术,构建技术先进、稳定可靠的信息化通道。网络安全装置、服务器、PC机等不同种类配置不断出新的发展。信息安全技术管理方面的人才无论是数量还是水平,都无法适应企业信息安全形势的需要。随着电力体制改革的不断深化,计算机网络系统网络上将承载着大量的企业生产和经营的重要数据。因此,保障计算机网络信息系统安全、稳定运行至关重要,通常可以采取新的技术,如桌面安全管理系统等对终端行为进行管理,从而保证整个内网的可信任和可控制。目前,大部分病毒是通过计算机系统的漏洞来进行肆意的传播,为此,对于计算机系统的供应商而言,应该要对大部分的漏洞进行及时地提供相应的补丁系统,而对于使用者而言,则需要通过不断地更新服务的系统来进行对系统的更新。
(3)加强技术和应用培训,为发展县级供电企业信息化建设提供基础保障。先进的管理方式对员工素质提出了更高的要 求,推行信息化建设不但要有“科技兴企、人才先行”的观念,而且还需要既懂电力知识又懂信息技术的人才。管理信息系统的生命力很大程度上取决于应用。信息化建设既是阶段性工程又是一种长期行为,对待信息化建设要有长远眼光,动态地考虑和评价信息化建设问题,不能只看到眼前利益,急于求成。
(4)加强信息制度和信息化安全建设,为县级供电企业信息化的建设提供根本保证。信息安全不仅要考虑到从安全问题的角度来进行分析,从而提出各个层面的安全保障,为此,信息安全它包括的是策略、技术以及管理的安全体系。供电企业在实现网络信息安全的有效途径的时候,需要从技术的层面以及管理的良好配合才得以实现,从而才能为县级供电企业信息化的建设提供根本性的保证。
4、结束语
电力企业的各个业务对网络的依赖性越来越强,对信息网络安全性的要求也越来越高,电力系统信息网络安全已经成为电力企业生产、经营和管理的重要组成部分。电力企业必须运用现代网络技术,加强信息制度和信息化安全建设,确保信息系统的安全运行,为企业的安全生产提供有力的保证,从而打造更加稳固坚强的管理技术支撑平台。
参考文献:
[1]徐伟锋、张虹、李莉.构建电力企业的网络信息安全[J].陕西电力,2007
[2]王广河,县级供电公司信息网络的安全风险与防护策略[J].电力安全技术,2008
通过安全认证
随着国航信息系统建设的飞速发展,在奥运安全保障工作中,安全不再只是空防安全和飞行安全,信息安全已成为奥运安保的重要环节,并纳入公司和信息管理部2008年重点工作之中。国航信息安全规划咨询项目就是在奥运安保和国航信息系统跨越式发展的大背景下立项建设的,它旨在为国航信息安全体系建设打下坚实的理论基础。
国航也是通过这个项目完成了未来3~5年信息安全建设的发展规划,建立了信息安全管理体系,于近日最终通过了ISO 27001信息安全管理体系认证,使国航成为国内首家通过此国际认证的航空企业,进一步提升了公司的综合竞争实力。
记者了解到,ISO 27001是国际信息安全领域的重要标准,它的前身源自英国标准协会(British Standards Institute,BSI)在1995年2月制定的信息安全管理标准 BS 7799,经修订后,于2005年10月15日作为国际标准ISOIEC 27001/2005。该标准基于风险评估的风险管理理念,可用于信息安全管理体系的建立和实施,保障信息安全,全面系统地持续改进安全管理。国航的信息安全管理体系已于2008年12月就通过了国际权威认证机构的现场审核,具备了获取ISO 27001信息安全管理体系国际认证的条件。
在国航发展战略中,信息安全占有非常重要的位置,几乎所有业务都与信息技术相关,特别是涉及到飞行安全、客户信任度的商务及财务方面信息等,都需要信息安全管理体系这张保护网的保障,在这种发展趋势下,国航以建立起成熟的、具备国际水平的信息安全保障体系,保障核心业务不中断、核心系统不被攻击、客户信息不泄露为信息安全愿景目标,
中国国际航空股份有限公司信息管理部总经理刘东说,国航有几百个系统每天运营着国航所有的正常航线、飞机维护、机组人员的管理、人员的编排,还有财务的收益管理,以及订座系统、离岗系统、网络收益系统。对于航空公司来讲,每个系统都不能失控,也不能出问题。
安全跷跷板
曾经主抓飞行安全如今管信息安全的中国国际航空股份有限公司副总裁贺利,在回顾国航在信息安全方面取得建设的一些建设成果时表示,“信息安全的体系是一个很复杂的体系,我们在业界经常叫“安全跷跷板”,这个跷跷板主要是在IT基础结构的基础上,包括三方面内容:一是技术平台,二是组织和人员,三是制度和流程,由这三方面一起通过我们来执行,去构成信息安全体系。”
国航信息管理部技术管理办公室高级经理李宗琦表示,如果没有信息安全管理体系这张保护网,应该说国航的飞行安全可能也无法得到保障。
第一要保证国航的核心业务不中断,第二要保证国航信息系统不被攻击,第三要保证重要客户的信息不被泄漏,通过这样的保障体系为国航的业务愿景的目标实现保驾护航。
作为一个大型的金融企业,中国长城资产管理公司(以下称长城资产管理公司)深知信息技术和网络技术对公司发展的重要性,公司总部与各省分支机构之间已经有2M链路相连,总部与各省分支机构均与Internet连接。
“双刃剑”困扰公司发展
随着金融科技的发展,现代金融企业的业务开展越来越依赖于网络。但网络是一柄双刃剑,在帮助公司发展业务的同时也带来了一系列的安全问题。长城资产管理公司意识到网络安全的重要性,并决定建立网络安全体系。
长城资产管理公司总部的安全建设已经部署了防火墙FW、防病毒AV、入侵检测IDS和补丁管理系统。但各省分支机构在安全建设方面几乎是一片空白,技术力量弱,IT技术人员缺乏。
关注“短板”的建设
长城资产管理公司信息技术部安全处处长曾德超表示,长城资产管理公司的关键和核心数据存储在总部,分支机构的服务器没有存储重要数据。针对目前的这个现状,把总部的安全建设作为工作重点的做法是比较可取的,也是比较经济的。但是分支机构的安全建设与总部之间存在着严重的不平衡,这种不平衡会使总部的安全建设的成果和效果大打折扣。因为信息安全建设的总体效果不是取决于最坚固的环节,相反是取决于最薄弱的链条,这就是著名的“木桶原理”。因此,分支机构的基本安全保障建设就显得尤为重要。
细粒度的访问控制、病毒和蠕虫的防护以及总部与分支机构之间数据的加密传输和身份认证等等,都是来自分支机构的安全需求,因此对于分支机构来讲,选择一种包含防火墙、VPN和病毒防护等多种功能的安全产品,即UTM(统一威胁管理)是满足上述要求的最佳解决方案。
长城资产管理公司总部与分支机构之间通过单一链路很容易出现单点故障,因此,需要增加冗余链路作为备份。另外,就当前网络现状和应用功能,该公司的安全建设和管理,比较适合采用总部统一安全管理策略,对分支机构进行集中管理的方式。
经过仔细的调研和分析之后,长城资产管理公司决定实施如下的安全战略:采用集中管理策略,并使用UTM产品 ,在公司总部和各个分支机构进行统一部署。
一方面,集中管理可以从最大程度上节约公司的安全成本,特别是安全管理成本。同时利于总部及时掌握各个分支机构的安全状况,对整个公司的安全状况了然于心,也便于进行安全检查和安全审计。
另一方面,选择UTM产品进行统一实施,可顺利解决分支机构的基本安全保障问题,在所有的分支机构全部部署UTM产品,一揽子解决所有分支机构的安全问题。此外,UTM产品具有如下功能上和管理上的优势:支持点对点VPN连接,实现集中式管理;建立总部与各省分支机构之间的VPN连接,作为现有专线的备份链路;保护各省分支机构免受来自Internet的恶意攻击或者蠕虫/病毒感染;实现移动用户的安全接入;实现统一威胁管理,构成立体防御体系,避免多种安全产品各自为政,条块分割等。
择UTM铸造网络长城
“长城资产管理公司对市场上的多功能安全网关产品进行逐一比较和分析后,最终选择了天清汉马多功能安全网关,它集成了多种强大的功能,不仅提供防火墙、病毒过滤功能,还提供TCP技术防范拒绝服务攻击、连接数限制、灵活的策略路由、AAA认证、准确的BT封锁功能及完备的NAT功能等,能够很好地满足长城资产管理公司的安全需求。” 曾德超如是说。
该项目实施后,长城资产管理公司总部与各分支机构IT系统的安全性得到大大加强,公司运营效率和管理效率也得到了很大的提高。
编辑点评:现代金融企业的业务开展越来越依赖于网络已是不争的事实,而与之相应的安全问题亦越来越突出。对金融行业来说,安全问题往往是致命的,网络安全的建设任重而道远!
・业界动态・
McAfee发现第20万个恶意威胁
McAfee 近期宣布McAfee Avert实验室把第10万个威胁添加到其2004年9月份的数据库当中,并已经发现第20万个恶意威胁。 (李)
SONICWALL公布UTM设备市场报告
7月25日,SonicWALL宣布连续第五季度保持全球统一威胁管理(UTM)安全设备市场领导地位。根据今年7月IDC的全球安全设备跟踪报告,于第一季度SonicWALL在销售数量和工厂营收方面处于总体领导地位。 (刚)
联想网御开启全国技术巡礼
近日,联想网御正式在广州开启主题为“蓝海”的“2006年联想网御全国技术巡礼”。本次巡礼历时3个多月,覆盖了包括华东、华南、西北等在内的全国上百个城市,是目前业界覆盖范围最大的一次信息安全技术巡礼。 (何)
长期以来,中国大多数企业的信息安全建设遵循“木桶理论”,但实践证明,在企业信息安全领域应用木桶理论仍存在一定缺陷,很难实现“标本兼治”。企业信息安全应从安全策略、安全管理体系、安全技术体系和安全运维体系四个方面建设一个完善的信息安全体系对企业的信息资源提供全方位的安全防护。整个安全体系以安全策略为核心,管理、技术、运维三者有机结合,又相互支撑。三者之间的关系为“根据管理体系中的策略,由相关组织或人员,利用技术体系作为工具和手段,进行操作来维持运行体系”。在建立信息安全体系的过程中,可采用ISO27001:2005所述的“过程方法”,即将“规划(Plan)-实施(Do)-检查(Check)-处置(Act)”(PDCA)四个步骤。
2安全策略
信息安全策略研究就是依据国家信息安全的方针政策、法律法规和工作要求,结合企业实际情况和管理要求,制订企业信息安全防护的建设方针和基本要求,对信息安全管理体系、技术体系和运维体系中的各种安全控制措施和机制的部署提出目标和原则,是信息化“建、管、用”各项工作和各个环节必须遵守的安全规则,也是针对每个系统和设备制订分项安全策略的依据。
3安全管理
信息安全管理可参照信息安全管理模型,按照先进的信息安全管理标准ISO17799标准建立组织完整的安全管理体系并实施与保持,达到动态的、系统的、全员参与、制度化的、以预防为主的信息安全管理方式。管理体系架构可分为四层,最高层为企业信息安全总体策略,为下面的各项分策略和具体的规章制度提供指导。第二层为企业信息安全组织体系,作用在于指导实施安全体系,制定安全的相关标准和方针,监管安全事件等。组织体系须设立专门的管理机构,配备相应的安全管理人员,明确主管领导,落实部门责任,各尽其职。第三层为根据总策略,对信息安全涉及的各方面制定有针对性的分项策略,为安全的具体实施提供管理和技术上的指导。第四层为具体的安全管理制度。
4安全技术
至去年“棱镜门”事件后,国内连续爆出一系列数据泄密事件:如家等快捷酒店开房记录泄露、中国人寿80万保单信息泄露、搜狗手机输入法漏洞、315晚会上央视也曝光了二维码等网银支付的安全漏洞,近日又曝光携程用户信息泄露,导致信用卡被盗刷的恶性事件,再次让互联网用户数据安全成为关注焦点。为企业在数据防泄密建设方面敲响警钟。
据乌云平台披露:携程将用于处理用户支付的服务接口开启了调试功能,使所有向银行验证持卡所有者接口传输的数据包均直接保存在本地服务器。同时因为保存支付日志的服务器未做校严格的基线安全配置,存在目录遍历漏洞,导致所有支付过程中的调试信息可被任意骇客读取。这些信息包括持卡人姓名、身份证、银行卡类别、银行卡号、CVV码和6位Bin。
根据CNNIC最新数据显示,2013年因网上数据泄露发生的安全问题涉及的网民数占整体上网人数的4.0%以上,影响人数达2010.6万人。其中,个人信息泄露比例达42.9%,账号密码被盗比例达23.8%。在享受互联网与手机带来的便捷之时,人已经“透明”了。层出不穷的新型骗术、花样翻新的黑客木马,无一不在拷问着网络数据安全问题。“创新永远伴随着风险,相关机构应提高自身安全技术业务;同时,希望更多宣传和普及用户安全意识教育。”某互联网公司首席知识管理专家赵焕焱强调。在他看来,几乎每次数据泄露的安全事件都是对商业公司的督促,而各个商业公司的安全意识也在逐渐加强。
事实上,目前,政府、企业等各方面都已经认识到信息安全建设的重要性和紧迫性。怎样避免数据泄密风险成为每位CIO迫切希望解决的问题。从众多数据泄密事件看,数据泄密途径主要有数据非授权使用、内部人员有意或无意泄密、离职雇员盗取信息及第三方合作人员数据窃取、数据被随意拷贝等。从本质上讲,数据加密技术是确保数据安全的治本之法,核心信息资产只用通过加密技术实现权限管理:知道核心数据哪些人能看,在哪儿能看,看的环境是否安全,才能建立完善的数据安全管理体系,实现对数据的安全管控。采用多种加密技术,结合用户身份和权限控制等技术实现对数据全生命周期的安全管理。构建以信息防泄密为核心的数据安全管理体系。对数据产生、交换、使用和存储全生命周期实现权限控制和安全管理,让核心信息牢牢掌握在内部,从而保护信息资产安全。
联系到中央网络安全与信息化领导小组成立,全国两会上信息安全焦点问题备受关注都充分说明国家信息安全建设高度重视。大数据时代,信息资产成为企业发展的命脉,如果数据信息被泄密,后果将不堪设想。(姜姝)
【关键词】电力;信息系统;信息安全;等级保护
随着科学技术的快速提高,我国的信息化发展迅速,信息化在各行各业都得到广泛应用。城市电网是经济社会发展的重要基础设施,是能源产业链的重要环节。随着信息、通信技术的广泛应用,智能化已成为世界电网发展的新趋势。电力企业网络建立信息安全等级保护制度旨在为国家信息安全保护工作建立起一个长久有效的安全机制,保障信息化建设的健康发展。然而目前我国电网的信息安全等级保护政策的实施处于初步进行阶段,还有很多工作需要完成。这需要业内外人士的共同参与,为保障信息安全尽最大的努力。同时伴随着计算机技术的发展,信息安全等级保护技术和水平也要不断优化升级,确保能够及时解决安全保护中遇到的问题,让信息安全等级保护政策的实施畅行无阻。
1 电力信息安全等级保护
信息系统等级保护制度是我国信息安全领域一项重要政策,信息系统安全等级保护是指对信息安全实行等级化保护和等级化管理。根据信息系统实用业务重要程度及其安全实际需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全稳定运行,维护国家利益、公共利益和社会稳定,等级保护的核心是对信息系统特别是对业务应用系统安全分等级、按标准进行建设、管理和监督。国家对信息安全等级保护工作运用法律和技术规范逐级加强监管力度,保障重要信息资源和重要信息系统的安全。
1.1 等级保护定级
信息系统的安全保护等级由两个定级要素决定:等级保护对象受到破坏时所侵害的客体和对客体造成侵害的程度,其中等级保护对象受到破坏时所侵害的客体包括三方面:公民、法人和其他组织的合法权益,社会秩序、公民利益,国家安全。等级保护对象受到破坏后对客体造成侵害的程度分为三种:一般损害,严重损害,特别严重损害。定级要素与信息系统定级的关系见下表所示。
1.2 基本要求与主要流程
等级保护的基本要求是:各基础信息网络和重要信息系统,按照“准确定级、严格审批、及时备案、认真整改、科学测评”的要求完成等级保护的定级、备案、整改、测评等工作。公安机关和保密、密码工作部门要及时开展监督检查,严格审查信息系统所定级别,严格检查信息系统开展备案、整改、测评等工作。等级保护的主要流程包括6项内容。
(1)自主定级与审批:信息系统运营使用单位按照等级保护管理办法和定级指南,自主确定信息系统的安全保护等级。有上级主管部门的,应当经上级主管部门审批。跨省或全国统一联网运行的信息系统可以由其主管部门统一确定安全保护等级。
(2)评审:在信息系统确定安全保护等级过程中,可以组织专家进行评审。对拟确定为第4级以上信息系统的,运营使用单位或主管部门应当邀请国家信息安全等级专家评审委员会评审。
(3)备案:第2级以上信息系统定级单位到所在地的市级以上公安机关办理备案手续。
(4)系统安全建设:信息系统安全保护等级确定后,运营使用单位按照惯例规范和技术标准,选择管理办法要求的信息安全产品,建设符合等级要求的信息安全设施,建立安全组织,制定并落实信息安全管理制度。
(5)等级测评:信息系统建设完成后,运营使用单位选择符合管理办法要求的检测机构,对信息系统安全等级状况开展等级测评。
(6)监督检查:公安机关依据信息安全等级保护管理规范,监督检查运营使用单位开展等级保护工作,定期对第3级以上的信息系统进行安全检查。运营使用单位应当接受公安机关的安全监督、检查、指导,如实向公安机关提供有关材料。
2 电力信息系统等级保护工作开展
2.1 信息系统定级及审批
2007年7月,公安部、国家保密局、国家密码管理局、国务院信息办联合下发《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安[2007]861号),按照有关工作要求,国家电力监管委员会开展了电力行业等级保护定级工作,并印发《关于开展电力行业信息系统安全等级保护定级工作的通知》(电监信息[2007]34号),电力公司按照《国家电网公司信息系统安全保护等级定级指南(试行)》(信息技术[2007]60号)对公司信息系统进行定级,按照要求填写定级报告和备案表,并报送国家电力监管委员会组织评审和审批。主要涉及4个3级系统、11个二级系统,具体见表2。
2.2 信息系统等级保护备案
公司完成信息系统的定级工作后,开始对信息系统进行等级保护备案,认真填写《信息系统安全等级保护备案表》,梳理完成所有资料准备后,于2011年向省公安厅提交了等级保护备案材料,最终公司15个管理信息系统完成了等级保护备案工作。
2.3 等级保护测评及整改工作
2011-2012年,按照国家电力监管委员会要求,北京华电卓识信息安全测评技术中心相继完成对公司电力市场交易系统、ERP系统、财务管理系统、营销管理等15个系统的等级保护测评工作。
公司积极组织、协调、配合测评队伍,遵循“流程规范、方法科学、结论公正”的原则,按照国家等级保护测评工作的有关标准、规范的要求,根据《电力行业信息系统安全等级保护要求(试行)》开展测评工作,公司信息系统等级保护测评符合率达到95%以上,顺利通过了等级保护测评,但是测评中还是发现了部分问题,主要包括:
(1)网络设备不具备双因子验证
根据国家《信息系统安全等级保护基本要求》规定,第2级以上(不含)信息系统网络设备应对同一用户选择两种或两种以上组合的鉴别技术来进行身份鉴别,按照此项基本要求,限于硬件条件,公司三级信息系统尚达不到安全防护要求。
(2)数据库审计功能未开启
根据国家《信息系统安全等级保护基本要求》规定,第2级及以上信息系统审计范围应覆盖到服务器上的每个操作系统用户和数据库用户;系统不支持该要求的,应以系统运行安全和效率为前提。按照此项工作要求,公司部分系统未开启数据库审计功能,亦未部署第三方审计产品。
测评工作结束后测评人员对测评过程结果及以上问题进行了反馈,公司根据测评中发现的各类问题做好问题整改工作,确保公司信息系统安全稳定运行。整改工作如下:
1)网络设备未设置双因子认证。对于不具备双因子验证条件的问题,公司正在加快建设统一数字认证系统,系统上线后可实现双因子验证。
2)数据库审计功能未开启。因开启数据库审计功能会对系统性能产生较大影响,公司近期计划购置部署第三方审计产品。
3 结束语
电力公司近年来高度重视信息安全工作,信息安全等级保护工作卓有成效,通过落实信息安全等级保护制度,开展管理制度建设、技术措施建设、落实等级保护各项工作要求,使信息系统安全管理水平明显提高,安全防护能力显著增强,安全隐患和安全事故明显减少,有效保障公司信息化工作健康发展,公司下一步工作重点应着手对等级保护测评发现的各项问题进行整改,保障公司网络及信息系统安全稳定运行。
参考文献:
[1]王雪莉.浅谈信息安全等级保护问题[J].数字技术与应用,2012.
[2]易振宇.电力信息系统等级保护实施浅谈[J].信息安全与通信保密,2011.
关键词:水利水电;网络建设;信息技术
当今社会是一个经济飞速发展的社会,其中可以展现经济飞速发展的一个方面便是水利水电工程技术的发展。为了能够满足水利水电工程技术快速发展的要求,计算机技术被大量引用到水利水电工程设计的各个方面。计算机网络技术可以很快的解决水利水电工程设计中的各种问题,并能够根据实际情况,不断的更新信息化进程,使得水利水电工程能够真正地跟上世界的发展,为我国社会的发展添砖加瓦。但是计算机网络建设依然需要通过增强保障措施来使其更加完善,更加符合时代的发展要求。尤其是应用到水利水电工程中以后,更是要对这些存在的问题加以重视才行,这样才可以切实的保证我国水利水电事业在计算机技术的辅助下健康有序的发展下去。
1水利水电设计中计算机网络建设的现状
我国水利水电工程设计的发展经历了现代计算机技术的崛起时代,利用先进的科学技术手段取得了不可忽视的快速发展。其中将计算机网络建设应用到水利水电工程设计中去,是一项具有划时代意义的改进方案。计算机网络建设在取得的成就之余,其实也难免还存在着很多问题,可以从以下两个方面来具体分析当前计算机网络建设在水利水电工程应用中的现状:现在我们所取得的成效以及依然存在的一些亟待解决的问题。
1.1水利水电设计中计算机网络建设已经取得的成效
在研究这个已经取得的成效过程中,我们还可以细致的分成3个方面进行讨论:首先,着眼于计算机网络建设发展原则方面来看,计算机网络建设的发展年限已经有一个很长期的基础,并完美的建立了高效安全的以资源整合为主导的发展体系。其次,从基础建设方面来看,现代社会笔记本电脑取得了大量的普及,这就保证了工作人员都能够做到人手一机。并且现在的网络光纤技术也非常成熟,确保网速能够达到要求。最后,一些发展较好的技术软件也已经被广泛的应用到了水利水电工程的设计中,确保了水利水电工程设计的高效和精准性。
1.2水利水电工程中计算机网络建设依然存在的问题
通过研究人员对水利水电工程设计的深入研究,实际上我国的计算机网络建设在取得了一些卓越的成效之余,还是存在着一些问题亟待解决的。首先,局域网的应用使得数据传输以及数据的共享都处在高效和安全的环境下进行,但是在兄弟部门或者是兄弟单位中,局域网的共享性就被大大降低了,那不可避免的就降低了资源的共享性。其次,在网络建设中暴露出来的第二个问题是数据的储存问题。在很多水利水电工程公司内部,数据的储存依然是以纸质版资料为主。纸质版资料在保存上本身就很难,容易被各种不良环境损坏;除此之外,纸质版资料储存的太多了,再查询时就会很麻烦,还会占据很大的空间。而电子版的资料,储存在电脑或者硬盘中,如果技术上有漏洞,就会出现数据的丢失,甚至泄露极为重要的资料的情况。
2水利水电设计中计算机网络的保障措施
在计算机网络建设的过程中,存在着很多优势,但也有很多明显的问题。在享受先进科技带来的便利之余,我们也需要克服这些问题。
2.1加强计算机网络建设的基础建设
局域网是用来传输分享资料的一项有效途径,加强对局域网的基础建设,根据实际情况对局域网进行合理的升级改造,是加强水利水电计算机网络建设的一项有效措施。首先,水利水电工程设计单位可以对局域网进行重新规划,根据实际业务需求,对计算机网络进行合理划分,这样可以保证水利水电设计的信息化事业可以保持大数据流传输的工作特点。第二,水利水电单位可以对关键的服务器单位进行合理化配置优化,以达到安全传输、安全储存的目的,具体可以包括数据库服务器的更新和维护、三维设计服务器的升级和改造、电子档案服务器的规范和调整等等方面。第三,数据库是水利水电工程设计部门的关键所在,对数据库进行建设,升级改进可以很大程度上推进水利水电设计工程的发展。具体内容包括对项目数据库的改进、管理数据库的完善以及图档数据库的建设等等。第四,网络的信息安全建设方面也是制约水利水电工程发展的一大阻碍,完善网络信息安全建设,可以通过对集成应用系统的完善来达到想要的目的。具体可以通过对办公管理系统、经营管理系统以及项目设计流程管理系统进行相关的强化、完善来达到完善网络信息安全建设的目的。第五,人才是一个企业发展的核心力量,水利水电设计工程单位可以通过培养专业的管理人才来促进水利水电设计工程的发展。
2.2加强计算机网络建设的信息安全建设
水利水电计算机网络建设工程倚仗现代科技技术的发展,取得了飞速的发展。但科技是一把双刃剑,有利又有弊。其中,网络信息安全是制约其发展的一大因素。针对信息安全的建设问题,水利水电工程单位可以通过建设计算机中心来专门应对计算机网络安全建设问题。计算机中心建成以后,可以专门在其中设立一个督察小组,专门负责信息安全。其中可以参考武警水电部队的做法,在部队内部,通过设定总队和分队,并在总队和分队之间建立虚拟通道,实现在部队内部的信息传输和分享。这种只针对内部的分享模式,就隔绝了外界网络对信息安全的危害,大大提升了计算机网络建设的安全度。另外,武警部队还对自身的信息储备功能进行了改进和强化。在以往的备份当中,其实依然存在着很大的安全隐患,比如一旦用来储存备份的计算机出了问题,那么整个部门的数据就都遭到了破坏。武警部分对此专门创建了主机备份和介质备份相结合的方式。在备份数据初期,就直接让一台或者多台备份服务器一起进行备份,这样就可以充分做到有备无患。在对主机的安全防护过程中,武警部分采用了先进的杀毒软件来对信息安全进行全方位防护,大大提升了部队的数据信息安全度,可以在很大程度上避免军事机密泄露。