公务员期刊网 精选范文 信息安全审核制度范文

信息安全审核制度精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全审核制度主题范文,仅供参考,欢迎阅读并收藏。

信息安全审核制度

第1篇:信息安全审核制度范文

关键词:等级保护;测评;信息安全;管理

中图分类号:TP393

文献标志码:C

文章编号:1006-8228(2011)12-60-02

0 引言

信息安全等级保护作为国家信息安全工作的一项基本制度、基本国策,已经在全国实行多年,各信息系统运营使用单位都深刻认识到等级保护制度的重要性。在我国信息安全等级保护制度中,等级保护分五个工作环节――定级、备案、建设整改、等级测评和监督检查。其中,等级测评是等级测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行的检测评估活动,是信息安全等级保护工作的重要环节。

随着等级保护工作的不断推进,等级测评机构的体系建设也在不断深入,全国等级测评机构的数量在不断增加,测评机构的品质和能力、测评人员的水平和素质、测评竞争环境等诸多方面的问题将不断出现。因此,加强对等级测评机构的合理、有效监管,对提升测评行业质量,保证测评数据公正、客观,以及保障重点行业的重要信息系统安全等至关重要。

1 国家层面对测评机构的监管模式

测评工作作为等级保护制度中最重要工作环节,具有明显的专业性和技术性恃点,其政策导向性强。因此,仅有相关测评技术标准是不够的,测评机构的体系化、规范化管理也是关键。

2009年7月公安部开始信息安全等级保护测评体系建设试点工作,其目的是探索信息安全等级保护测评体系建设和管理的模式和经验,保证全国重要信息系统等级保护安全建设工作的顺利开展。试点工作主要在浙江、重庆、河南、广东等省市展开。其主要内容是根据《信息安全等级保护管理办法》和有关技术标准完成五个方面的工作:一是检验并完善等级测评机构应具备的条件;二是检验并完善等级测评机构建设的主要内容;三是检验并完善等级测评人员管理的主要内容;四是检验并完善等级测评工作规范性要求的主要内容;五是检验并完善测评机构监督管理的主要内容等。从试点工作情况分析,国家对等级保护测评机构的监管模式采用的是能力评估和政府干预相结合的模式。

从工作程序上分为四个步骤:

(1)各测评机构向设区的市级以上所在地公安网安部门申请,公安网安部门根据《信息安全等级保护测评工作管理规范(试行)》对测评机构所提交的申请材料进行审核,审核通过后,提交给上一级公安网安部门报批,并予以受理。

(2)公安部网络安全保卫局统一将各地上报的测评机构信息转发给公安部信息安全等级保护评估中心,由评估中心按照《信息安全等级测评机构能力要求(试行)》对各测评机构进行能力评估。能力评估通过后,由评估中心将能力评估材料递交公安部网络安全保卫局审核批准。

(3)各省公安网安部门收到公安部网络安全保卫局对测评机构审核的意见及相关证书,下发给各地网安部门。

(4)公安部信息安全等级保护评估中心在网站上公布测评机构名单,接受社会监督。

能力评估的内容和要求上,分为组织管理能力、测评实施能力、设施和设备安全与保障能力、质量管理能力、规范性保证能力、风险控制能力、可持续发展能力等七个方面和基本要求、约束性要求等两个部分。

2 浙江省等级测评机构现有监管模式

浙江省信息等级保护工作一直处于国内前列,2006年就颁布了《浙江省信息安全等级保护管理办法》(省政府第223号令),并在同年开展了全国等级保护试点项目。通过多年积累的经验,2007年浙江省开始在测评机构管理、测评工作模式等方面进行探索,初步形成具有浙江特色的等级保护测评机构监管模式。

(1)以社会协会管理为主,政府监管为辅的管理模式

浙江省结合实际,政府层面出台了《浙江省信息安全等级保护测评机构管理规定(试行)》,明确了省内从事等级测评工作的单位性质、条件和义务等要素。社会协会层面出台了《浙江省信息安全测评机构资信等级评定管理办法(试行)》实现测评机构资信等级一、二级管理,形成测评机构管理行业规范,变政府由市场参与主体向市场监管主体转变,由管理审批型向管理服务型转变、由直接行政干预向间接宏观调控转变。

(2)建立以行业自律管理为主的监管体系

严格测评机构行业自律管理,测评机构间签署《信息安全等级保护测评机构行业自律公约》,强化机构自律化管理,进一步规范测评机构行为和工作秩序。

(3)建立机构统一管理标准,专控审查机构自身及人员能力建设

全省测评机构必须按照“审核标准统一,管理规范标准统一、技术标准统一、测评工具标准统一、报告样式标准统一”的五统一规范开展测评工作,并由政府组织机构年审,设立准入准出机制。测评机构的能力审查对测评过程中技术人员行为的规范性、合理性和程序标准性,对机构业务范围、管理能力和技术能力要求等给予明确规定,规范申请、审核、查验和推荐流程,组建由公安、保密、密码管理、信息办和安全等部门专家组成的专门审查小组对机构背景、管理水平、资格和技术能力进行量化评价,作为推荐依据。同时,严格规范测评机构工作程序,加强对机构内部管理规范化建设督导,要求健全人员管理、项目管理、文档管理、设备管理、保密制度等各项制度,要求制定《质量手册》、《程序文件》、《作业指导书》、《测评过程记录表单》等测评实施过程文档,完善测评实施规程。

全省机构都已被要求必须获得CMA中国计量认证,并被引导和鼓励去获得CNAS实验室认证、ISO27001认证等。所有从业人员必须获得初级以上“测评师”技术证书,测评工作中持证上岗。对测评从业人员要进行录用考核、备案和背景审查等工作。

3 现有监管模式的不足

在现行的测评机构监管模式中,我们侧重于对测评机构应具备条件(包括审核是否在境内注册成立、注册资本多少、法人资格、公司已有的资质、测评人员已获得的技术认证等)的监管;仅关注机构是否已具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等制度,而对这些制度的落实情况及执行情况缺乏有效监督;对测评活动实施过程中的合法性,有效性问题缺乏必要的考量。

4 对测评机构进行有效性监管方法的探讨

(1)对测评机构的测评大纲实行报备审核

测评大纲应是等级测评机构的整体测评策略性文件,能综合反映不同测评机构从事等级测评活动的经验、知识、测评方法和测评程序。基于对被测评单位的利益保护以及对测评机构的监管要求,测评大纲应具有法律效力,须报公安机关审核备案后使用。测评机构只有按照测评大纲中明确的指标严格检测、测评,其测评结果才能真实地反映被测单位计算机信息

系统的安全状况,为安全整改建设提供科学的依据和指南。

(2)对等级测评活动的各周期程序实行监督指导

等级测评流程分为四个阶段:测评准备、方案编制、现场测评及报告编制,政府部门的督导工作须贯穿其中。如,在测评准备阶段,为了避免测评小组成员和委托人之间存在利害关系,影响测评结果的公平、客观、真实,测评机构在确定测评小组成员名单后让测评委托人确认签字,确认书要留档备查,未经确认开展的项目测评报告不具有法律效力。方案编制中,必须明确测评对象、范围、依据法律法规和标准、制定具体的测评检查表,记录文件要测评双方签字确认,方案和测评过程文档应留档备查。现场测评中,测评小组必须使用可信、安全等级测评工具采集数据,测评工具要向公安机关报备,现场测评要按照检测程序全面检测关键测评项,依据测评标准客观、公正、准确评价,政府主管部门应随机驻点督查现场测评过程实施情况。测评报告反映的是被测评单位信息系统的安全保护现状,应具有法律效力,报告要使用标准模板,起草过程中测评机构和测评人员应当遵守国家的有关法律法规,保守被测评单位秘密、保障被测单位利益,政府部门有必要明确测机构及其工作人员的法律责任来规范其职业道德。测评机构的测评结果直接对信息系统运营使用单位的建设、整改和运营成本,以及对监管部门的行政监管成本产生影响,也就是说,测评报告对国家和社会都会产生影响。因此,测评机构要对自身的测评行为负责,政府主管部门将对机构及从业人员违反法律规定的行为予以民事、行政或刑事处罚。

(3)对测评人员实行从录用到离职的全程监督

等级测评涉及用户单位的核心业务系统,是一项高技术的专业安全服务,需要具有一定政治素质、道德素质和专业素质的测评人员来支撑。管理应进一步加大对测评人员的政治背景、从业背景、专业背景、技术素养的审查力度,建立完备测评人员档案库,考量测评机构测评人员稳定性,重点加大对离职测评人员的管控,明确保密条约,关注人员离职去向。

(4)制定测评机构优劣考量机制,促进诚信服务的企业文化

等级测评的执行主体是测评机构,测评机构的企业文化是否具有凝聚性,企业价值观是否诚信,内部管理模式是否健康,关乎其市场竞争力,更关乎测评机构能否为信息系统安全等级保护工作提供安全、客观、公正的检测评估服务。因此,要求测评企业必须有一定的政治觉悟,要严格遵守国家有关法律法规,要承担社会责任和法律责任,不能唯利是图。政府部门要定期开展管理评审,制定考量测评机构优劣评判标准,完善被测评单位满意度反馈机制,建立机构诚信状况、信用状况、评级结果等信息公开机制,将政府监管和社会监督结合起来,通过评星评级、市场退出和奖惩机制的建立,鼓励诚信机构,惩戒不诚信机构,增加机构不规范测评行为的风险成本。

(5)规范价格体系,推动测评机构良性发展

等级测评是近两年才兴起的行业,政府要引导建立良好的测评市场价格体系,借鉴其他行业自律的经验手段,避免恶性价格竞争,要保障等级测评有一定的利润空间,以使得测评机构能朝更专业、更具实力方向发展,充分调动测评机构提升品牌建设、服务工作效率、专业能力、测评人员素质的内在动力。

第2篇:信息安全审核制度范文

信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。

1.1管理层方面

管理层方面的信息安全大致也包括物理层方面和管理层方面。

(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。

(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。最后就是对干企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。

1.2网络层方面

网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。(1)网络。主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。

(2)系统。造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。

(3)应用。在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。

二、信息安全教育

2.1保密协议

在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁善。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻幵始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对干信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。

2.2信息安全管理制度

信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。(1)对于企业内部所有员工进行信息安全意识的教育培训。(2)对于企业内部的信息技术人员进行扣关技术知识的教育培训。

2.3员工职业素养的教育

在企业内部对员工的职业素养也需要进行培训。譬如对干一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基要求。

2.4普及计算机及网络知识的教育

企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机:,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家见或是其他计算机k的病毒带到企业内部,导致企、计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更尚的信息安全意识。

三、结语

第3篇:信息安全审核制度范文

1.销售系统设施建设。

硬件方面,各石油销售企业都具有设施完善的中心计算机系统,供电采用UPS方式,采用“双机热备”的核心服务器工作模式,以确保整个硬件的可靠性和安全性;网络方面,采用SDH光纤接入广域网,包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式,设备之间,层层之间以光纤方式连接,以均衡网络负载。除了安装必备的防火墙,部分企业为进一步提高安全防范能力还安装了外网入侵检测系统;大多数加油站采用SSLVPN方式访问企业内部网,以保证网络接入的安全性。在PC系统方面,大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统,实现PC机的MAC地址绑定。

2.销售系统信息化建设。

目前,企业的销售信息系统主要包括:加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等。信息系统具有如下特点:一是用户众多,几乎所有企业管理人员都是各系统用户;二是应用领域广,涉及企业经营、管理、对外服务诸多方面;三是要求连续运转,如ERP系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性,其数据的安全性和保密性更关系到广大客户的利益。所以,基于上述的原因,企业对销售信息系统的安全运转提出了更高的要求。

3.销售系统的信息安全现状。

石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统,国家对其信息安全高度重视,并在《2006-2020年国家信息化发展战略》中强调,我国要全面加强国家信息安全保障体系的建设,大力增强国家信息安全保障能力,实现信息化建设与信息安全保障的协调发展。同时,国内石油销售企业也长期重视信息安全工作,逐步建立了相应的保障体系和规章制度,但还存在以下问题:

(1)范围涉及广泛。

石油销售企业分支机构多,终端运营组织庞大且分散,以中石油集团为例,其截至2013年分布在全国的加油站已超过30000座。在如此庞大的销售系统中,信息网络承载着指导业务运行的重要功能。大量、分散部署的加油终端,必然会造成联网方式的多样化、网络环境的复杂化。

(2)设备系统众多。

石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深,并且范围广泛,包括加油站、油库等大量的自动化控制系统。因此,业务管理流程复杂,安全风险增大。

(3)人员素质不齐。

由于石油销售属于传统行业,因此企业人员年龄跨度较大,对信息安全管理的职业组织参差不齐;甚至对于企业管理人员,对于信息安全的认识也多停留在纸上谈兵;基层人员众多,且直接面对客户,流动性大,信息泄露风险极高。而且新生代的企业员工对计算机和网络接触早,应用水平高,日常使用频繁,在缺乏网络安全防护意识的情况下更易导致信息泄漏,甚至在好奇心理的鼓动下主动发起网络攻击行为,所以企业内网安全也成为一个突出的问题。

(4)资金投入有限。

国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%,而我国企业基本都在2%以下。全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元,中国的损失也达到了一百亿美元以上,但是中国企业在这方面的投资只有几十亿美元。因此,我国企业整体信息化安全建设预算不足。石油企业信息化工程是一项繁重的任务,需要在信息安全方面有更大的投入。大型油企需要建立复杂庞大的数据库备份体系,建立并维护高效的网络杀毒系统、企业级防火墙、IDS、IPS系统和完善的补丁更新及发放机制,以保证企业各方面的数据安全。建立这一复杂的系统需要大量的资金投入,而且其投入回报慢,因此石油企业普遍轻视这方面的投入和维护,信息安全建设相对于企业的发展整体滞后。

二、石油销售系统的信息安全管理系统设计

石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系,以预防控制为主,强调动态全过程控制。建立相应的信息安全管理系统,需要从物理、信息、网络、系统、管理等多方面保证整体安全;建立综合防范机制,确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行,保障整体信息网络的安全、高效、可靠运转,规避潜在风险,供系统的可靠性和安全性。因此,石油销售系统的信息安全管理系统构架分为以下组成:

(1)组织层面。

石油销售部门应建立责任明确的各级信息安全管理组织,包括信息安全委员会、信息安全管理部门,并通过设立信息安全员,指定专人专项负责。通过这些部门和负责人开展信息安全认知宣传和培训,提高企业员工对信息安全重要性的认识。

(2)制度层面。

制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程,经科学性审核和测试后下发各级部门,提升企业的信息安全管理的效能,减少事故发生风险,提高应急响应能力。

(3)执行层面。

信息安全管理部门应当定期检查和随机抽查相结合,监督安全制度在各级部门的执行情况,评估安全风险,负责PDCA的循环控制。

(4)技术层面。

信息安全管理部门要提供安全管理、防护、控制所需的技术支持,全面保障企业整体信息安全管理系统建设。通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面,主要包括监控与审核跟踪,数据备份与恢复,访问管理与身份认证,信息加密与加固等具体技术措施。通过有效的信息安全管理平台和运作平台,在最短时间内对信息安全事件进行响应处理,保障信息安全管控措施的落实,实现信息安全管理的目标。

三、结语

第4篇:信息安全审核制度范文

关键词:电力信息化;安全保障体系;

1关于电力信息化及其建设模式特点

电力信息化是由电力信息基础设施(PII)和信息化应用系统部分组成。计算机信息网络及其通信网络是电力信息化的基础,各类电力信息资源的开发利用是电力信息化的核心。电力企业信息化是指各类电力企业在电力生产和经营、管理和决策、研究和开发、市场和营销等各方面应用信息技术,建设应用系统和网络,通过对信息和知识资源的有效开发和利用,调整和重构企业组织结构和业务模式,服务企业发展目标,提高企业竞争力的过程。企业信息化包括生产过程自动化和管理信息化两方面内容。生产型企业信息化的重点在于生产过程中供应链的调配与优化,如发电厂的重点是生产过程自动化:商业销售型企业,则利用信息系统进行订单管理、客户关系管理、营销管理,与合作伙伴进行协作交流,如供电企业的重点是营销自动化:无论哪类企业,其信息化的共同之处就是应具备办公自动化、共享信息查询、业务数据处理、电子邮件等基本功能即信息网扣安全保障体系的建立,如防病毒系统,防火墙系统、入侵检测系统、存储备份系统等。现针对不同类型的电力企业,探讨在电力信息化的建设特点。

2电力信息安全现状与需求

2.1电力信息安全内涵

电力信息安全是指电力主营业务系统及企业信息安全,保障不被未经授权者访问、利用和修改,为合法用户提供安全、可信的信息服务,保证信息和信息系统的机密性、完整性、可用性、真实性和不可否认性。

2.2电力信息安全存在的问题

1)信息安全意识薄弱。信息安全由于无法量化、未发生重大事故等原因,往往被忽视,不少单位的网络与系统基本处于不设防状态;另外,电力企业IT用户由于不了解安全威胁的严峻形势和当前的安全现状,在使用个人计算机、应用系统、网络时只关注易用性,忽视了安全性。

2)信息安全保障工作没有常态化。信息安全保障工作以检查为主,如电监会、上级公司的安全检查,信息安全领导小组、工作组只在有信息安全事件发生时发挥作用,没有形成常态化的工作机制。

3)信息安全运作机制不完善。主要体现在业务连续性计划不完备、业务系统开发交付环节缺乏安全测试和对测试数据的管理、信息文档管理不规范等。

4)短板现象显著。电力企业办公地理位置分散(如供电所、营业厅),不同片区的IT运行维护(以下简称运维)、安全管理缺乏规范,在信息化建设落后的地方,由于受经济、技术水平等因素限制,往往存在信息安全短板。

5)系统安全设计不足。业务系统建设时缺乏安全设计方案,造成系统存在sql注入、跨占脚本攻击、无详细的审计日志、身份认证信息强度不足、软件容错性差等问题。

2.3信息安全保障需求

电力企业信息安全面临的风险有病毒木马、非法篡改信息、信息泄露、服务瘫痪,应对风险安全保障需求可分为信息安全管理和信息安全技术2大类 。

信息安全管理需求包括信息安全评估、安全策略规划、制度规范和实施细则制订、安全管理组织建立、信息安全培训、信息安全运行管理、安全监控、应急响应和恢复、安全监督审计等方面;信息安全技术需求主要是通用信息安全技术手段(或安全服务),如身份认证、访问管理、加密、防恶意代码、加固、监控、审核跟踪和备份恢复等。

3建立安全的电力信息保障体系

3.1信息安全策略

信息安全策略应由安全决策层制定并进行宣传,可从省级电网层面制定公司安全策略,各地市级供电局负责贯彻落实。电力信息安全策略的制定应结合国家信息安全等级保护政策,以提升企业整体防病毒、防篡改、防攻击、防泄密、防瘫痪能力为基础,并结合自身信息化建设水平。

3.2信息安全管理

对比信息安全保障框架,电力企业在信息安全管理方面亟待加强,集中体现在以下几个方面:虽然建立了信息安全管理组织,但并没有有效运转;公司员工仍认为信息安全是某一个IT部门的事,包括信息技术部内部部分管理人员,没有树立起全员信息安全意识;部分安全职责不明确或不履行职责,对安全管理制度置之不理;缺乏有效的安全通报考核机制;没有建立起风险管理控制机制;信息安全管理体系没有形成计划、实施、检查、处理闭环。

1)信息安全组织方面,应建立安全决策机构、管理机构、执行机构和督察机构。安全决策机构应由省级电网公司成立,并至少每年召开信息安全工作会议,通报电力信息安全现状和安全规划;督察机构可抽调企业内部各单位信息安全业务骨干组成,至少每个月对信息安全状况进行检察和上报;明确各级信息安全岗位职责,使安全管理组织真正运转起来。

2)安全风险管理是对企业残余风险的管理控制,防止风险发生。实施信息安全风险管理流程优化,控制变化带来的风险,确保风险受控,实施年度风险管理审核机制, 由安全督察机构实施风险审核。

3)电力信息安全保障应引入PDCA闭环管理思想,建立安全监察评价机制和信息安全考核评价指标,通过对信息安全政策、标准、规章制度、措施执行情况的检查及借助信息技术手段分析信息安全情况,不断优化安全管理运作过程。

信息系统运维部门对系统安全风险最清楚,但运维人员通常怕担责任,受批评,增加工作量,参与风险排查的积极性不高,故应调动一线运维人员排查风险的积极性,在各信息系统的管理维护部门内部建立风险排查机制,每个月进行排查,提交月报;安全管理人员与各信息系统的管理维护部门联合组织专题排查;安全督察机构每年进行强制性抽样检查,形成部门主动排查为主,专家年度安全检察为补充的安全监察机制。安全考核评价应结合安全监察,至少每年1次,先由各单位或机构根据自查情况进行自评估,之后由安全督察机构根据自评估结果,对部分部门实施强制性抽样检查,以保障安全考核评价的客观性。另外,必须根据安全考核结果进行通报和奖励。

3.3保证电力信息安全的技术措施

身份认证和访问控制可通过公钥基础设施(publickeyinfrastructure,PKI)技术进行统一管理,建立省电网级认证授权中心,提供目录服务、身份管理、认证管理、访问管理等功能。实现主机系统、网络设备、安全设备、应用系统等的统一身份认证管理。对营销、财务等系统中的机密数据,应使用加解密、数字签名、消息认证码等手段进行保护,提高系统服务和数据访问的抗抵赖性。目前,电力企业多数系统通信过程都未采取加密、数字签名等安全措施,加之企业内网未实施有效的准入控制,这给电力信息安全造成巨大风险,必须尽快梳理各类信息的机密属性,整体规划,对应用系统进行升级改造,并实施内网准入机制。

电力管理信息大区网络内部应建立病毒预防、检测、隔离和清除机制,预防未知病毒入侵,迅速隔离被感染的主机,识别并清除网内的已知病毒。

加固是指对信息系统安全领域受保护的对象进行自身安全加固的保护,内容主要包括安全漏洞扫描、渗透性测试、对象补丁的获取和实施安全、关闭不必要的服务和防止拒绝服务的攻击5部分。针对终端安全,应由省级电网公司建立统一的桌面操作系统安全补丁管理体系、建立规范的桌面计算机系统软件管理体系、建立完善的桌面计算机系统资产管理体系、建立严格的软件监控管理体系、建立有效的桌面办公安全管理规范和技术规范等。针对主机安全,需搭建统一的补丁测试环境,对电力典型业务系统进行补丁测试,建立统一的补丁测试、更新机制,建立主机平台配置技术规范等。

监控和审计可提高信息的安全性,提高问题发生时的反应速度,有效预防安全问题的发生。应进行统一规划,建立IT监控平台。目前广东电网等省级电网公司都已经开始实施监控平台的建设。

备份恢复技术主要包括备份技术、冗余技术、容错技术和不间断电源保护4个方面的内容。备份恢复与容灾中心具有关联性,建立容灾中心的单位应每年至少进行一次灾备恢复的演练,没有容灾中心的单位应将营销、生产、财务等核心数据定期进行异地备份,并定期进行备份恢复演练,提升应对自然灾害的能力。

第5篇:信息安全审核制度范文

随着近年来信息安全话题的持续热议,越来越多的企业管理人员开始关注这一领域,针对黑客入侵、数据泄密、系统监控、信息管理等问题陆续采取了一系列措施,开始构筑企业的信息安全防护屏障。然而在给企业做咨询项目的时候,还是经常会听到这样的话:

“我们已经部署了防火墙、入侵检测设备防范外部黑客入侵,采购了专用的数据防泄密软件进行内部信息资源管理,为什么还是会出现企业敏感信息外泄的问题?”

“我们的IT运营部门建立了系统的运行管理和安全监管制度和体系,为什么却迟迟难以落实?各业务部门都大力抵制相关制度和技术措施的应用推广。”

“我们已经在咨询公司的协助下建立了ISMS体系,投入了专门的人力进行安全管理和控制,并且通过了企业信息安全管理体系的认证和审核,一开始的确获得了显著的成效,但为什么经过一年的运行后,却发现各类安全事件有增无减?”

这些问题的出现往往是由于管理人员采取了“头痛医头,脚痛医脚”的安全解决方案,自然顾此失彼,难以形成有效的安全防护能力。上述的三个案例,案例一中企业发生过敏感信息外泄事件,于是采购了专用的数据防泄密软件,却并未制定相关的信息管理制度和进行员工保密意识培训,结果只能是防外不防内,还会给员工的正常工作带来诸多不便;案例二中企业管理者认识到安全管理的重要性,要求相关部门编制了大量的管理制度和规范,然而缺乏调研分析和联系业务的落地措施,不切实际的管理制度最终因为业务部门的排斥而束之高阁;案例三中ISMS的建立有效地规范了公司原有的技术保障体系,然而认证通过后随着业务发展却并未进行必要的改进和优化,随着时间的推移管理体系与实际工作脱节日益严重,各类安全隐患再次出现也就不足为奇。

其实,企业面临的各种安全威胁和隐患,与人体所面临的各种疾病有诸多类似之处,我们常说西医治标不治本,指的就是采取分片分析的发现问题―分析问题―解决问题的思路处理安全威胁,通过技术手段的积累虽然可以解决很多问题,但总会产生疲于应付的状况,难以形成有效的安全保障体系;类比于中医理论将人体看为一个互相联系的整体,信息安全管理体系的建立正是通过全面的调研分析,充分发现企业面临的各种问题和隐患,紧密联系业务工作和安全保障需要,形成系统的解决方案,通过动态的维护机制形成完善的防护体系。

总体来说,信息安全管理体系是企业在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进企业的信息安全系统,目的是保障企业的信息安全。它是直接管理活动的结果,表示成方针、原则、目标、方法、过程、核查表(Checklists)等要素的集合,涉及到人、程序和信息系统。

针对ISMS的建立,我们可以从中医“望闻问切对症下药治病于未病”的三个角度来进行分析和讨论:

第一,“望闻问切”,全面的业务、资产和风险评估是ISMS建设的基础;

第二,“对症下药”,可落实、可操作、可验证的管理体系是ISMS建设的核心;

第三,“治病于未病”,持续跟踪,不断完善的思想是ISMS持续有效的保障。

望闻问切

为了完成ISMS建设,就必然需要对企业当前信息资源现状进行系统的调研和分析,为企业的健康把把脉,毕竟我们需要在企业现有的信息条件下进行ISMS建设。

首先,自然是对企业现有资源的梳理,重点可以从以下几个方面入手:

1.业务主体(设备、人员、软件等)。

业务主体是最直观、最直接的信息系统资源,比如多少台服务器、多少台网络设备,都属于业务主体的范畴,按照业务主体本身的价值进行一个估值,也是进行整个信息系统资源价值评估的基础评估。由于信息技术日新月异的变化,最好的主体未必服务于最核心的信息系统,同时价值最昂贵的设备未必最后对企业的价值也最大。在建立体系的过程中,对业务设备的盘点和清理是很重要的,也是进行基础业务架构优化的一个重要数据。

2.业务数据(服务等)。

业务数据是现在企业信息化负责人逐步关注的方面,之前我们只关注设备的安全,网络的良好工作状态,往往忽略了数据对业务和企业的重要性。现在,核心的业务数据真正成为信息工作人员最关心的信息资产,业务数据存在于具体设备的载体之上,很多还需要软件容器,所以,单纯地看业务数据意义也不大,保证业务数据,必须保证其运行的平台和容器都是正常的,所以,业务数据也是我们重点分析的方面之一。

3.业务流程。

企业所有的信息资源都是通过业务流程实现其价值的,如果没有业务流程,所有的设备和数据就只是一堆废铜烂铁。所以,对业务流程的了解和分析也是很重要的一个方面。

以上三个方面是企业信息资源的三个核心方面,孤立地看待任何一个方面都是毫无意义的。

其次,当我们对企业的当前信息资产进行分析以后需要对其价值进行评估。

评估的过程就是对当前的信息资产进行量化的数据分析,进行安全赋值,我们将信息资产的安全等级划分为 5 级,数值越大,安全性要求越高,5 级的信息资产定义非常重要,如果遭到破坏可以给企业的业务造成非常严重的损失。1 级的信息资产定义为不重要,其被损害不会对企业造成过大影响,甚至可以忽略不计。对信息资产的评估在自身价值、信息类别、保密性要求、完整性要求、可用性要求和法规合同符合性要求等 5 个方面进行评估赋值,最后信息资产的赋值取 5 个属性里面的最大值。

这里需要提出的是,这里不仅仅应该给硬件、软件、数据赋值,业务流程作为核心的信息资源也必须赋值,而且几个基本要素之间的安全值是相互叠加的,比如需要运行核心流程的交换机的赋值,是要高于需要运行核心流程的交换机的赋值的。很多企业由于历史原因,运行核心业务流程的往往是比较老的设备,在随后的分析可以看得出来,由于其年代的影响,造成资产的风险增加,也是需要重点注意的一点。

最后,对企业当前信息资产的风险评估。

风险评估是 ISMS 建立过程中非常重要的一个方面,我们对信息资产赋值的目的就是为了计算风险值,从而我们可以看出整个信息系统中风险最大的部分在哪里。对于风险值的计算有个简单的参考公式:风险值 = 资产登记 + 威胁性赋值 + 脆弱性赋值(特定行业也有针对性的经验公式)。

ISMS 建设的最终目标是将整个信息系统的风险值控制在一定范围之内。

对症下药

经过上阶段的调研和分析,我们对企业面临的安全威胁和隐患有一个全面的认识,本阶段的ISMS建设重点根据需求完成“对症下药”的工作:

首先,是企业信息安全管理体系的设计和规划。

在风险评估的基础上探讨企业信息安全管理体系的设计和规划,根据企业自身的基础和条件建立ISMS,使其能够符合企业自身的要求,也可以在企业本身的环境中进行实施。管理体系的规范针对不同企业一定要具体化,要和企业自身具体工作相结合,一旦缺乏结合性ISMS就会是孤立的,对企业的发展意义也就不大了。我们一般建议规范应至少包含三层架构,见图1。

图1 信息安全管理体系

一级文件通过纲领性的安全方针和策略文件描述企业信息安全管理的目标、原则、要求和主要措施等顶层设计;二级文件主要涉及业务工作、工程管理、系统维护工作中具体的操作规范和流程要求,并提供模块化的任务细分,将其细化为包括“任务输入”、“任务活动”、“任务实施指南”和“任务输出”等细则,便于操作人员根据规范进行实施和管理人员根据规范进行工作审核;三级文件则主要提供各项工作和操作所使用的表单和模板,以便各级工作人员参考使用。

同时,无论是制定新的信息管理规章制度还是进行设备的更换,都要量力而行,依据自己实际的情况来完成。例如,很多公司按照标准设立了由企业高级领导担任组长的信息安全领导小组和由信息化管理部门、后勤安全部门和审计部门组成的信息安全办公室,具体负责企业的信息安全管理工作,在各级信息化技术部门均设置系统管理员、安全管理员、安全审计员,从管理结构设计上保证人员权限互相监督和制约。但是事实上繁多的职能部门和人员不仅未能提升企业信息系统安全性,反而降低了整个信息系统的工作效率。

其次,是企业信息安全管理体系的实施和验证

实施过程是最复杂的,实施之后需要进行验证。实施是根据 ISMS 的设计和体系规划来做的,是个全面的信息系统的改进工作,不是单独的设备更新,也不是单独的管理规范的,需要企业从上至下,全面地遵照执行,要和现有系统有效融合。

这里的现有系统既包含了现有的业务系统,也包含了现有的管理体制。毕竟ISMS是从国外传入的思路和规范,虽然切合国人中医理论的整体思维方式,但在国内水土不服是正常的,主要表现就在于是否符合企业本身的利益,是否能够和企业本身的业务、管理融合起来。往往最难改变的还是企业管理者的固有思维,要充分理解到进行信息安全管理体系的建设是一个为企业长久发展必须进行的工程。

到目前为止,和企业本身业务融合并没有完美的解决方案,需要企业领导组织本身、信息系统技术人员、业务人员和负责 ISMS 实施的工程人员一同讨论决定适合企业自身的实施方案

最后,是企业信息安全管理体系的认证和审核

针对我们周围很多重认证,轻实施的思想,这里有必要谈一下这个问题,认证仅代表认证过程中的信息体系是符合 ISO27000(或者其他国家标准)的规范要求,而不是说企业通过认证就是一个在信息安全管理体系下工作的信息系统了。更重要的是贯彻实施整个体系的管理方式和管理方法。只有安全的思想深入人心了,管理制度才能做到“不只是挂在墙上的一张纸,放在抽屉里的一本书”。

“治病于未病”

企业信息安全管理体系需要动态改进和和优化,毕竟企业和信息系统是不断发展和变化的,ISMS 是建立在企业和信息系统基础之上的,也需要有针对性地发展和变化,道高一尺魔高一丈,必须通过各种方法,进行不断地改进和完善,才有可能保证ISMS 系统的持续作用。

就像我们前面案例中提到的某公司一样,缺乏了持续改进和跟踪完善的手段,经过测评的管理体系仅仅一年之后就失去了大部分作用。对于这些企业及未来即将建立ISMS的企业,为了持续运转ISMS,我们认为可以主要从以下三个方面着手:

第一,人员。

人员对于企业来讲是至关重要且必不可缺的,在ISMS建立过程中,选择合适的人员参与体系建立是ISMS建立成功的要素之一。在持续运转过程中,人员都应该投入多少呢?通常在体系建立过程中,我们会建议所有体系管理范围内的部门各自给出一名信息安全代表作为安全专员配合体系建立实施,且此名专员日后要持续保留,负责维护各自部门的信息资产、安全事件跟踪汇报、配合内审与外审、安全相关记录收集维护等信息安全相关工作。

但很多事情是一种企业文化的培养,需要更多的人员甚至全员参与,例如面向全员的定期信息安全意识培训,面向专业人员的信息安全技术培训等,因此对于企业来讲,除了必要的体系维护人员,在ISMS持续运转过程中,若能将企业内的每名员工都纳入到信息安全管理范围内,培养出“信息安全,人人有责”的企业氛围,则会为企业带大巨大的潜在收益。且有些企业在面向自身员工展开信息安全各项活动的同时,还会纳入客户、合作伙伴、供应商等需要外界相关人员的参与,对外也树立起自身对重视信息安全的形象,大力降低外界给企业带来的风险。

第二,体系。

ISMS自身的持续维护,往往是企业建立后容易被忽视的内容,一套信息安全管理文档并不是在日益变化的企业中一直适用的,对于信息资产清单、风险清单、体系中的管理制度流程等文档每年至少需要进行一次正式的评审回顾,这项活动由于也是在相关标准中明确指出的,企业通常不会忽略;但日常对于这些文档记录的更新也是必不可少的,尤其是重要资产发生重大变更,组织业务、部门发生重大调整时,都最好对ISMS进行重新的评审,必要时重新进行风险评估,有助于发现新出现的重大风险,并且可以将资源合理调配,将有限的资源使用到企业信息安全的“短板”位置。

唯一不变的就是变化,企业每天所面临的风险同样也不是一成不变的,在更新维护信息资产清单的同时,对风险清单的回顾也是不可疏忽的,而这点往往是很多信息安全专员容易忽视的内容。持续的维护才能保证ISMS的运转,有效控制企业所面临的各种风险。

第三,工具。

工具往往是企业在建立ISMS过程中投入大量资金的方面,工具其实是很大的一个泛指,例如网络安全设备、备份所需设备、防病毒软件、正版软件、监控审计等各类工具,即使没有实施ISMS,企业在工具方面的投入也是必不可少的,但往往缺乏整体的规划及与业务的结合,经常会出现如何将几种类似工具充分利用,如何在各工具间建立接口,使数据流通共用,哪些工具应该替换更新,数据如何迁移,甚至出现新购买的工具无人使用或无法满足业务需求等问题,导致资金资源的浪费,因此在持续运转ISMS过程中,根据风险评估报告,及信息安全专员反映的各部门业务需求各种信息数据的收集,应对工具进行统一规划,尽量减少资源的浪费。

第6篇:信息安全审核制度范文

关键词:计算机技术;网络数据库;安全管理技术

引言:

数据库安全管理的工作重心应始终放在保证用户信息数据的完整性、一致性、安全性和保密性等方面,通过对硬软件的规律维护、用户账号验证、审核访问操作、数据管理,备份与恢复、建设网络防护系统等措施开展安全管理工作。对此,管理人员应积极加强工作能力的培养,切实落实管理步骤,保证信息安全。

1目前网络数据库存在的安全问题

1.1软硬件的稳定与安全问题

硬件的质量与状态是确保数据库运行稳定性与安全性的前提,若出现硬件故障和问题,可能会导致数据库系统崩溃,信息数据丢失或损坏;系统与软件的安全问题表现在版本落后、漏洞没有及时修复等,若无法及时解决,则可能造成信息数据遗失、或遭泄露、篡改等。

1.2账户认证环节缺乏有效管理

目前数据库的用户密码强度普遍偏低,在账户配置等方面留有隐患,加之账户审核与认证环节缺乏有效管理,严重威胁了数据库的安全。

1.3信息数据加密、备份与恢复工作不到位

数据库运营应时刻防范黑客攻击和病毒、木马等的入侵,同时也应加强信息的加密、备份与恢复工作,否则可能导致库内信息被轻易破译,或在遭遇非法操作与攻击时无法及时恢复应有状态,对用户造成损失。

1.4管理制度与体系不够完善

目前与网络信息安全相关的管理制度依旧不够完善,法律对影响信息安全行为的打击力度不足,且由于数据库运营方安全管理体系建设不足,安全管理工作多由信息管理员兼任,导致了管理人员工作能力与精力不足、工作效率低、管理措施落实不到位等问题[1]。

2加强网络数据库安全管理的措施

2.1加强对软硬件的维护与管理

为保证数据库系统的安全与稳定,需要加强对软硬件的维护与管理。维护人员应对电源、网络服务器和线路等硬件设备进行规律性的检修、维护、调整、更换与更新,确保硬件设备以最佳状态运行,同时,也应及时对系统和软件进行调整与更新,及时修复漏洞,定期查毒,确保软件性能和设置的安全性。

2.2加强账户认证,对账户信息进行加密

加强账户认证、增强密码强度、及时修补用户配置预设中的隐患,是提升账户安全性的重要举措。对此,应及时修复账户验证系统中存在的漏洞与不足,使其达到应有的阻隔恶意访问和操作的目标。为有效保护账户密码和用户个人信息的安全,安全管理人员应采取措施,对该部分数据进行强制加密,用以抵御不法分子的破译与攻击,增加破译难度与成本,进一步加强数据库信息安全建设。

2.3加强对数据的加密、备份与恢复

为增强数据的保密性,数据库管理方应及时更新相关的加密技术,增加破译成本与难度,从而有效保障数据安全,如今业内主流的加密技术大致可分为全盘加密和驱动级加密两类。其中驱动级加密技术具有强制性和透明性的特征,操作上配置灵活、方便调整、监督与控制,且不会影响用户的正常操作,现已被广泛运用于企业文件与数据的加密操作。在强化数据加密的同时,为有效防范因系统故障或遭攻击等造成的信息数据遗失或损坏,应随时做好数据备份、并及时在发生问题时进行数据恢复,尽量减少损失。目前在业内常用的数据备份与恢复技术包括数据转储、数据镜像和日志登记等。另外,为防止数据被非法篡改或删除,可对数据进行写保护操作,或在用户权限上加大对修改文件数据方面的审核与监控。

2.4积极建设并完善数据库安全管理制度与体系

在采取各类优化、加密与保护措施的基础上,数据库管理方还应积极与相关部门展开合作,进一步建设并完善相关的管理制度与体系,增强管理人员的安全意识,具体包括设立专业的安全管理岗位,对员工进行安全管理培训,提高管理人员的综合素质与工作能力。完善并发展与网络信息安全相关的制度法规,需要政府相关部门和数据库管理方的通力合作和共同努力。对此,政府相关部门应对网络信息安全问题给予高度重视,及时出台相关的法律法规,明确运营方在保证数据安全方面的责任,并针对攻击数据库,损害或泄露重要、机密、敏感的信息与数据,危害他人利益的行为,追究当事人的法律责任。对数据库运营方而言,应建立起一套完整的安全管理规章制度,并严格实施、贯彻到数据库管理的各方面工作中。对此,管理方应积极设立安全管理方面的独立岗位,明确区分安全管理职责与系统管理与维护职责,从而有效减轻数据管理员的工作量与压力,进一步提升管理人员的专业技能水平,从而保证各方管理工作的有效进行,提高数据管理和安全管理的效率与质量。同时,单位还应积极开展安全管理相关培训,加强到岗人员的工作责任感,提升其安全管理能力,培养其面临突发状况或故障时的处理能力,尽可能在保证规范操作的基础上缩短处理故障所需的时间,尽量减少系统故障对用户使用体验的负面影响。在进行安全管理工作时,安全管理人员应始终坚持严格遵守相关规章制度,明确并规范具体操作流程,减少不规范操作可能带来的故障与问题[2]。

3结语

积极增强网络数据库安全管理,有效防范泄露、篡改、非法窃取信息数据等行为,对维护先进网络信息安全、构建和谐网络环境意义重大。为此,数据库管理方应积极采取措施,消除目前网络数据库的安全与稳定患,积极完善相关管理制度、提高管理人员素质,从而为网络数据库的未来发展提供安全保障。

参考文献:

第7篇:信息安全审核制度范文

【关键词】船岸网络;信息安全;航运企业

0引言

一些航運企业已开始实施“数字化+互联网”战略,船舶运营参数及管理量化指标被转移至信息更加透明的互联网平台,船舶所有人可以通过互联网平台随时随地查看船舶动态。航运企业将船舶全权委托给第三方船舶管理公司管理,并通过互联网平台监控船舶动态。这种管理模式带来一个全新的课题:船岸网络信息化程度越高,信息系统遭受攻击导致数据泄露的风险越大。近年来已发生多起船员个人信息泄露导致的诈骗案件。这些个人信息泄露的源头是船舶管理公司的信息系统。信息泄露会给个人造成损失,而信息系统遭受病毒攻击则会给航运企业造成巨大损失。因此,信息安全对航运企业而言极为重要。

1船岸网络管理现状

船岸网络技术的发展非常迅速,特别是海上卫星通信服务商提供的海上高速网络在资费下降后极大地提高了船舶与管理方、服务供应商、租船人和船舶所有人/经营人之间的信息交换频率。海上高速网络的普及给信息安全带来更大的隐患。网络没有物理界限,任何具有网络攻防知识并熟悉船舶扁平化网络架构的人或组织都可以通过Shodan搜索引擎获得相关信息,对船岸网络实施远程攻击。通过对卫星通信服务商IP地址段批量扫描发现:众多安装VSAT、FBB设备的船舶未加安全措施就向公网开放了21/80/445/3389等弱口令TCP、UDP端口;供应商为节约成本、方便远程维护管理,将Cobham、KVHCommBox、Inmarsat、Marlink等产品内建的管理后台映射到外网;绝大部分船舶没有配置专业的硬件防火墙,岸基管理人员缺乏专业技能,最终导致船舶网络安全得不到保障。

要做好船岸网络安全工作,首先要了解船岸网络设备运行机制和原理。船舶内网GPS、ECDIS、主机监控系统服务器等多网卡设备既通过串口总线和CANBUS、MODBUS等协议控制舵机、智能电站及压载水调平系统等设备,又通过网卡和SNMP、NMEA等协议进行网络通信,从而形成了一个可以网络远程控制的船舶物联网。由于某些船用通信协议存在设计缺陷,例如NMEA0183协议通过明文传输,缺乏加密、身份认证和校验机制,为实施网络攻击制造了机会――攻击者只需远程更改一两个字符就可以命令船舶转向。

2常见的网络攻击方式

广义上对船岸网络的攻击主要有两类:(1)无目标的攻击。岸基或船舶内网操作系统和第三方软件漏洞是潜在受攻击目标之一,攻击者利用0day漏洞进行广撒网式的无差别化攻击,近几年马士基航运集团和中远海运集运北美公司遭遇的网络攻击属于此类。(2)有针对性的攻击。攻击者将某船岸信息系统设定为渗透目标,利用专门开发的绕过技术和工具躲避网络防御机制(如震网病毒事件),实施多步骤攻击,其破坏程度较无目标的攻击更大。

有针对性攻击又分为以下6种类型:

(1)主动攻击。攻击者主动攻击网络安全防线。主动攻击的方式为修改或创建错误的数据流,主要攻击形式有假冒、重放、篡改消息和使网络拒绝服务等。

(2)被动攻击。攻击者监视相关信息流以获得某些信息。被动攻击基于网络跟踪通信链路或系统,用秘密抓取数据的木马程序代替系统部件。

(3)物理攻击。未被授权者在物理上接入网络、系统或设备,以达到修改、收集信息或使网络拒绝访问的目的。

(4)内部攻击。被授权修改信息安全处理系统,或具有直接访问信息安全处理系统权力的内部人员,主动传播非法获取的信息。

(5)边界攻击。网络边界由路由器、防火墙、入侵检测系统(IDS)、虚拟专用网(VPN、DMZ)和被屏蔽的子网等硬件和软件组成。硬件的操作系统与其他软件一样存在安全漏洞,攻击者可利用操作系统漏洞,绕过已知安全协议达到攻击的目的。

(6)持续性威胁。商业间谍组织可能会通过“钓鱼手法”进行攻击。如以“某某船公司2020中期战略企划书”为关键词投放电子诱饵,通过文档追踪工具进行精准定位,诱骗受害人打开附件或点击邮件链接从而入侵或破坏其信息系统。

3船岸网络中易受攻击的系统

船岸网络中易受攻击的系统有综合船桥和电子海图系统、配载仪和船舶维修保养系统、主机遥控和能效系统、保安限制区域闭路电视监控系统和各重点舱室门禁系统、乘员服务和管理系统、面向船员娱乐的公共网络系统、船岸网络通信系统、计算机操作系统及常用软件等。

4船舶网络安全配置建议

(1)禁用公网IP,使用URA系统远程管理。

(2)修改系统默认密码并使用高强度密码。

(3)将船岸网络操作系统和第三方软件补丁、病毒特征库升级至最新版本。

(4)对工控网络、办公网络、娱乐网络实施网络隔离和访问控制。

(5)通过策略制定公用电脑进程白名单,禁用USB接口。

(6)向船员普及网络安全风险防范知识。

(7)要求设备供应商提供必要的网络安全事件应对措施。

(8)不过度依赖远程网络监控技术,增加现场勘查频率。

5网络攻击事件的处置步骤

(1)风险识别。定义相关人员的岗位和职责,确保在日常管理中能够及时发现可疑风险。

(2)事件预防。制定风险控制流程和应急计划,降低网络风险,防范网络攻击。

(3)事件发现。检查已确认的网络攻击事件,评估损失并制定后续恢复方案。(4)事件恢复。制定计划使系统恢复正常运行。

(5)免疫措施。制定措施避免类似网络攻击事件再次发生。

6网络信息安全团队岗位职责

航运企业应设立信息安全官(CISO)岗位,其职责为:建立船岸网络安全团队并管理成员,牵头制定全面的船舶网络安全应急保护计划(CSP),以持续保障船岸网络安全。团队成员岗位职责如下:

(1)对船舶VSAT/FBB设备端口映射及防火墙规则进行审核、分发、监控,熟悉Infinity、XchangeBox等通信管理系统的后台设置,监控船岸网络的可疑流量。

(2)对船岸内网信息设备和办公电脑软硬件及时更新维护,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等软件操作知识。

(3)定期优化单船拓扑结构和更新船岸网络病毒特征库和漏洞补丁库,不断完善船岸网络信息事故应急预案。

(4)收集供应商技术文件并集中存储,向设备和服務供应商提交并跟踪审核通导信息类设备保修工单(如KVH、Marlink、GEE、OneNet等)。

(5)跟踪记录新造船FBB、铱星移动通信系统、VSAT和船载物联网设备安装调试情况,审核通信类费用凭证。

(6)具备防火墙、路由器、入侵检测系统、交换机的丰富知识,MacOS、Windows、Linux等3大操作系统及域控、数据库的基础知识,并能熟练使用SQL、CrystalReports提取分析数据。

(7)参与船岸网络的设计开发和信息系统的迭代开发,提出必要的安全策略规范要求。

(8)具备妥善监控并处理网络安全事件的能力和独立撰写网络安全事件调查报告的能力,并提出改进措施。

7船岸网络信息安全管理目标

船岸网络信息安全问题从根本上说是人的问题,如何在制度上让人遵守规则,如何在技术上减少或避免人为恶意攻击,这是船岸网络信息安全组织架构设计的目标。船岸网络信息安全组织架构设计的总体目标可定义为:针对船岸网络和信息安全需要,构建系统的网络安全技术和信息防护策略及措施,通过制度管理和技术防范来规范员工行为,达到网络和信息资产安全可控的目的,最终达到“外人进不来、进来看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全总监的基本职责是建立船岸网络和信息安全团队并确保团队成员各司其职。团队成员既包括企业内部的计算机安全专家,也包括企业外部的资深律师、会计师、技术专家等。

8经验交流

网络信息安全对于大部分人而言比较陌生。在实践中,大部分航运企业由总裁办(行政事务部)或保密部门负责网络信息安全,而网络信息安全职能又隶属话语权不高的IT部门,最终导致企业网络信息安全工作进展迟滞,制度实施缓慢。因此,建议由公司领导牵头,技术保障部门负责具体实施。有条件的航运公司应该定期针对船岸网络信息系统进行安全演习并配置网络信息安全设备,以便当船岸网络信息系统被攻击时,能够迅速作出应急反应,尽快恢复网络系统,尽可能挽回损失。此外,在员工手册、船员上船协议中应该赋予航运公司相关职能部门通过技术手段来防止内部威胁的权力,打击隐蔽性较强的涉及船岸网络的职务犯罪。

以某航运企业为例,2018年初由公司领导牵头与某船级社联合成立了船岸网络信息安全专项课题组,针对公司船岸网络的特殊性制定了一套通用船舶网络安全管理体系,并在超大型集装箱船试行《船舶网络信息安全实施指南(征求意见稿)》和相关配套制度,如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等。此外,还对试点船舶就域控服务器(解决内网信息审计问题)、KMS激活服务器(解决操作系统、办公软件授权问题)、自建CA授权机构颁发数字证书(解决SHA256数据加密问题)、某开源局域网远程管理软件以及等级保护一体机硬件部署(解决病毒库、补丁库离线升级问题)等项目进行技术验证,为下一步推广应用船岸网络信息安全课题研究成果奠定了良好基础。

第8篇:信息安全审核制度范文

以来,我镇在县委、县政府的正确领导下,在县信息中心的帮助和指导下,认真按照市、县关于电子政务工作的总体部署和要求,加强对电子政务的建设与管理,取得了一定的成效。现将我镇电子政务工作自查情况报告如下:

一、主要工作及成效

(一)组织及制度建设情况。一是领导重视,机构健全。我镇高度重视电子政务工作,成立了以镇长任组长、镇相关部门负责人为成员的镇电子政务工作领导小组,统一领导镇电子政务工作,研究决定镇电子政务建设中的重大问题。领导小组办公室设在镇党政综合办公室,并指定2名懂电脑操作、保密意识强的党政综合办公室成员具体负责信息更新及网络维护等日常工作,形成了机构健全、分工明确、责任到人的良好工作格局。二是制定制度,按章办事。根据市、县文件要求,制定了电子政务工作各项管理制度及维护制度,包括专人维护、文件审核签发等制度。三是加强培训,提高素质。有计划地组织各类运行维护人员进行电子政务系统应用有关知识、技能的培训,并按县信息中心要求参加各类培训,切实提高了各类运行维护人员的素质,确保系统正常运转使用。

(二)网络和信息安全情况。一是加强网络运行维护工作。加强网络运行维护队伍建设,进一步充实网络运行维护人员,镇直各部门均确定1名兼职网络信息管理员,负责及时提供和审核本部门信息内容。同时按照县安全管理要求,制定和完善了我镇电子政务安全保密措施,落实安全保密工作责任制,要求网络运行维护人员及时将异常情况上报至县信息中心。全年未发现网络异常。二是切实做好信息安全工作。安装了专门的杀毒、杀木马软件,互联网出口处部署了防火墙、日志审计等安全系统,有效防范了病毒、木马、黑客等网络攻击,确保了信息和网络运行安全。三是开展不定期检查。我镇电子政务工作领导小组不定期对电子政务工作办公室的环境安全、设备安全、信息安全、管理制度落实情况等内容进行检查,对存在的问题及时进行纠正,消除安全隐患。

(三)政务平台应用推广情况。已经应用全县政务统一平台开展网上协同办公,及时收发公文和相关信息,积极开展公文网上起草、登记、签批、归档等日常工作,基本实现同全市其他政府机关网上协同办公。

二、存在的困难和不足

虽然我镇电子政务工作取得了一定的成效,但还存在一些困难和不足之处,主要体现在:一是办公电脑设备陈旧老化,只有一台已经使用6年、内存256m的电脑专门用于电子政务。二是机关工作人员年龄偏大,计算机知识程度不高,培训没有完全跟上。三是信息未能完全做到及时更新,电子政务管理、使用有待于进一步加强。

三、下一步改进措施

(一)积极争取财政资金支持。积极争取上级部门资金支持,更新或配备电脑等必要的办公设备。

(二)努力提高业务素质。加强宣传教育,进一步提高全镇人员对电子政务的认知水平和责任意识,积极组织人员参加全县电子政务培训,为电子政务的有效实施奠定更加坚实的基础。

第9篇:信息安全审核制度范文

证券业是无纸化的行业,证券业务完全是依赖信息系统完成的。中国证券市场从诞生、发展到现在仅仅十几年时间,但由于技术起点高,中国证券业的信息化建设已达到了较高水平。

随着我国证券业信息化的加速建设,信息系统规模越来越大,信息资产急剧增加,如何对这些资产进行有效管理,对其实施不同级别的安全保护将是证券业面临的巨大挑战。同时,信息系统内部采集、存储、传输、处理的信息量越来越大,对证券信息系统及其网络的依赖性更强,必须保证数据的安全采集、安全存储、安全传输和安全处理。来自互联网的威胁、网上交易潜在的威胁等都是值得我们关注的问题。

中国银河证券是国内大型券商之一,全国有167家营业部,分布在全国56个城市,客户达到300多万。可想而知,银河证券的信息系统也是十分庞大的。因此,银河证券的信息安全保障工作也是十分艰巨的。

构建安全体系

目前,银河证券的安全保障体系已经初步建立并在不断完善中。公司已经制定并了总体的安全策略文件。公司的信息安全体系文件是信息安全工作的内部“法规”、实际工作的标准、内部培训和审核的依据。信息安全体系建设过程中文件的创建工作是十分艰巨的,所以制定适合公司实际情况的信息安全体系文件是重点工作。策略文件包含建立信息安全体系的方针与目标文件、风险评估方法描述文件、文件控制程序、内部审核程序等文件。相关文件都应符和相应的标准。

信息安全体系是一个“人工系统”,需要组织管理才能运行。在安全组织体系建设中,银河证券建立了信息安全管理机构――信息安全工作领导小组。信息安全工作由主管公司信息系统的公司领导负责,工作小组由信息技术中心领导牵头,成员由各部门指定人员组成,形成了高层、中层、操作层的层次化管理。管理机构负责定义信息安全体系方针和目标、定义风险评估方法、创建体系文件、执行风险评估、制定风险处理计划、选择和实施控制措施、评审及改进等工作。

在信息安全体系建设的技术层面上,银河证券已具有了相当的技术实力。IDS、防病毒、补丁分发、网络加固、监控系统、垃圾邮件网关等技术的应用很好地保证了信息系统的安全。另外,公司聘请信息安全顾问服务提供厂商,提供7×24小时信息安全解决方案和应急服务。通过厂商的专业服务银河证券信息安全工作得到很大改观。

信息安全制度的实施十分关键,公司管理机构高度重视,加大了执行力度,并且计划将绩效考核与员工对相关制度的执行情况挂钩。同时,公司计划通过内部审核等手段来评估、完善相关制度。

集中管理与分散交易

银河证券在信息安全保证体系建设中注重对关键业务系统的高等级保护。

首先,对公司所有的信息资产进行彻底清查,为公司资产的等级化划分及制定、实施相应的保护策略提供了第一手资料,可以说这是对公司信息资产实施等级保护的基础工作。

第二,公司正在实施大集中项目建设。目前由于历史的原因,公司的业务模式一直是以营业部为中心运营,各营业部采用不同的软硬件平台和交易系统,客户的交易数据全放在营业部,客户的股票和资金全部由营业部自行管理,每个营业部直接将客户的委托上报交易所。应该讲,这种业务模式在市场发展的初级阶段是合理的、有效的。但随着证券市场业务多样化、监管规范化,市场竞争更加激烈,这种模式的弊端就日益显现出来,特别是这种模式存在资源分散、重复建设、安全漏洞和系统风险大、缺乏行之有效的管理和监控手段等问题。

证券公司的IT系统是推动业务转型、推动客户服务的重要基石,建立集约化管理、集中式证券交易系统已经成为业界共同的目标。

银河证券大集中交易总体目标是实现“集中管理、分散交易”。在总部设立集中的业务管理中心,承担所有营业部的业务管理、清算等职能。营业部剥离管理功能,形成以委托交易、营销服务为主的交易通道功能。

采用这种方案不仅实现了银河这样大型证券公司大集中交易的各项目标,同时又不受客户规模的影响,出现故障时能把损失减少到最小。各个交易中心可以在和总部通信中断的情况下,不影响进行本地委托交易。某个交易中心的故障不会影响到其他交易中心。简单地说,就是前台仅负责实时交易,后台负责统一清算、统一账户管理、统一客户管理、第三方存管等工作。

通过大集中项目,将公司的核心数据集中到总部统一管理,这样不仅做到了核心资产的集中管理和监控,同时也做到了风险控制点的集中管理,而且公司的集中模式并不会因为集中带来更大的风险。这样就突出了公司最核心的等级保护级别,从而制定了针对此核心保护级别的保护策略。

实现两网分离

另外,公司还实施了两网分离项目。在项目实施之前,办公网和业务网没有分开,办公网主机的问题很容易影响到业务网,例如办公网的主机感染病毒,就很容易影响业务主机。同时没有一个统一的IP地址规划,一旦病毒等问题出现,就很难快速地对病毒做控制,因为即使针对的是同一项业务,也不能做统一的策略,必须对各个营业部分别采取措施,这需要花费大量的时间,而且不易实施,往往在控制病毒的同时也将一些正常的业务控制住了,影响了正常的业务开展。

公司的业务网是公司的核心网络,它的安全等级要比办公网高得多,所以通过将业务网和办公网分离,实施对业务网更高的保护级别达到保障公司关键业务的安全稳定运行。这样,当公司办公网出现问题时,不会影响到业务网,而一旦业务网出现问题,可以切换到办公网,保证业务运行。通过两网分离,加强了业务网的安全性,同时在连接办公网的路由器上可以增加访问控制列表,使营业部的办公网只能访问总部的办公网,如果营业部的办公主机想访问本营业部的业务网,可以通过中间件来进行。

项目实施后,完全达到了项目的要求,有利于公司根据两网的不同特征制定不同的策略,实现不同的安全级别,从而使公司业务网达到了更高的保护级别,使业务系统运行更加稳定、安全,防止办公网的问题影响业务网。同时在实施过程中,通过及时调整业务网和办公网的划分及访问控制列表,达到了持续改进的目的。

链接:何为风险评估?

风险评估是对信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定信息资产的风险等级和优先风险控制顺序。

在风险评估中,考虑的主要因素包括: 信息资产及其价值、对这些资产的威胁、它们发生的可能性、薄弱点、已有的安全控制措施等。