內網信息安全管理精選(五篇)
發布時間:2023-10-09 17:41:39
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇內網信息安全管理,期待它們能激發您的靈感。
篇1
網絡信息和計算機技術發展的背景下,為人們的工作帶來極大便利性,然而由于信息出現泄露的情況十分嚴重,這使得企業蒙受嚴重的損失。因此,這就需要企業不斷加強對信息安全的管理工作,從而更好地保護企業信息的安全性。尤其是企業中財務信息、高層機密決策以及技術信息等更是需要加強管理,這能夠充分保障企業發展所需要的優勢資源。本文重點分析企業如何設計信息管理的系統,進一步提升企業中信息管理的可靠性。
1闡述企業內部對信息管理的情況
1.1企業缺乏監控體系
目前,許多企業中在內部網絡和外部網絡之間的連接處基本依靠防火墻進行控制,而對企業中員工的上網行為則主要是依靠訪問管理的方式進行控制。然而這些防護方式并沒有對企業內部信息實施有效的監控[1],一旦受到來自外界干擾或者是外界系統對公司的入侵,極易造成企業中的信息發生泄漏的問題,因此,為了能夠更好地管理企業信息,就需要不斷提升監控能力。
1.2企業缺乏安全管理機制
這主要表現在企業中沒有一個安全管理的機制,企業中對信息安全管理還處于初級認識階段。因此,在管理工作中沒有嚴格地監控機制,從而導致了企業中的信息安全存在較大的威脅性。然而盡管有的企業對信息管理采取一定的措施,然而在管理方面的力度不夠,尤其對企業員工的管理沒有十分明確的制度規定,這一方面導致了企業員工對信息安全的認識度不高,另一方面對信息安全的保護力度不足,使得企業內部信息受到極大的威脅。
1.3企業缺乏應急流程
目前,企業在信息安全保護工作中沒有一套有效的應急流程,一旦企業中發生信息問題,難以找到有效的負責人,這不僅沒有有效管理信息,而且也難以防止類似信息問題再次發生[2]。尤其是信息管理的機房以及子系統中,實施遠程控制沒有取得顯著的效果,而發生信息問題時,也不能及時上報,從而延緩了信息問題處理的良好時機。
2分析安全隱患
2.1操作系統存在安全隱患的問題
這主要是由于企業中許多員工在工作中操作系統方面沒有十分注意信息安全的問題,并認為只要電腦能夠正常使用,并且不影響自己的工作情況即可,而較少考慮自己信息安全方面的問題,所以這就導致了需要操作中出現信息泄露的問題,例如從不同的端口中出現黑客入侵的情況,從而導致了信息安全受到較大的影響。
2.2應用系統存在安全隱患的問題
由于企業中各個不用的工作種類對信息的需要量不同,因此,在信息管理方面也出現需要一定的困難,因為工作中所涉及的應用系統較多,而且其中的信息保密程度不同,所以一旦應用系統出現問題就會對信息安全帶來較大的威脅性[3]。此外,由于應用系統具有不斷變化的特點,這對信息安全帶來一定的威脅。2.3病毒侵害目前,各種各樣的病毒入侵,對信息安全帶來較大的影響,而且這些病毒還有快速傳播的特點,因此,信息安全受到較大的威脅。此外,在傳播途徑方面出現的多樣化,也對信息安全產生了較大影響。例如通過郵件、下載以及移動設備等方式而攜帶病毒,從而對企業中的管理信息的系統造成不良影響。
3分析信息管理系統設計
在文章中主要分析信息系統設計工作中通過客戶端和服務器端的模式而不斷提升信息系統的安全性,在這一模式下,可以通過服務器端和客戶端而對企業中的信息進行有效管理,這能夠更好地降低當前企業中信息安全的威脅度,同時也能夠有效提升企業中信息管理的工作效率[4]。從當前市場上所流行的一些主流應用軟件可知,基本是分布式的模式發展較快,此外,在分散網絡以及終端設備方面也能夠通過組件的方式而不斷提升管理的效率,這就能夠在滿足企業對信息的需求情況。無論出于企業中的何種位置上,只要出于互聯網支持的背景下,都能夠隨意訪問企業內部的系統,同時還能夠在各個應用系統中做到組件共享和系統升級。由此可知,運用客戶端和服務器端的方式就能夠更好地提升信息保護的能力,當企業工作人員對信息進行提取時,此時企業內部的服務器就會接收對應的信息,然后經過系統的處理,而將信息提取的結果有效反饋給信息需求者。當前企業中運用客戶端和服務器端的模式在信息管理工作中不斷提升了工作效率,同時也對信息安全保護帶來幫助。這種模式具有良好的交互性、安全性、響應快以及網絡負載較低等特點[5],從而能夠提升信息數據的處理速度。
3.1分析系統工作的原理
在本次設計的信息管理系統中主要從如下三個不同部分共同組成,即控制端、客戶端以及服務器端。而在信息管理工作中的人員則需要按照三者不同的作用而控制好企業中內網的情況,因此,這就需要安裝控制端、客戶端以及服務端,然后做好對企業中的信息工作。其中,在企業中的信息保護工作就需要在計算機中的客戶端做好控制,而系統中的客戶端則能夠加強控制,最后是存儲信息方面,計算機需要對計算機中的信息實施有效的保護,這對具有存儲功能的計算機而言,這一個服務項目就稱之為服務器端,它主要的作用就是能夠在數據庫中保護好客戶端中的信息,并能夠在日常監控中記下監聽日志[6]。該信息管理的系統在實際工作中的操作方式是:第一,做好數據源的統計工作,這主要是對客戶端中各種信息(包括軟硬件)、屏幕采集、信息數據以及監聽日志做好統計工作;第二,對不同的數據信息進行收集和整理,這主要是從服務段每天所收集的信息而進行分類處理,尤其是在對其中的不同的類型的信息都需要做好整理,從而能將數據劃分在對應的數據庫中,便于做好信息管理的工作;第三,從信息管理系統中下載數據,這主要是從數據庫中對不同的信息數據進行下載和管理,并能夠將這些數據保存在對應的數據庫中,從能夠在為信息管理工作提供一定的指導依據;第四,動作響應,這主要是對客戶端中的信息進行管理,此時工作人員可以從信息控制端中接收信息指令,然后根據系統中的掌握信息是否處于安全的環境下。例如通過網絡中所收集的信息,則能夠通過客戶端而更好地掌握網絡中的信息傳輸情況,從而幫助企業帶來良好的信息保護依據[7]。通過分析上述信息實施的過程情況可知,客戶端屬于信息安全保護的重點內容,主要的內容模塊有:通信、安全策略、信息釆集以及命令執行。而在該系統中,服務器端則主要是對系統中的數據進行科學管理,其主要包括的內容有:系統部署、信息服務、管理、信息匯總以及遠程安裝模塊。系統中的控制端主要是對管理人員而言的,它能夠為數據查詢工作提供幫助,同時更好地將數據信息傳遞給對應的工作人員,主要的模塊有:命令控制、通訊、策略配置以及圖形化。
3.2分析信息系統的功能設計情況
1)運行中系統資源的占用情況
這主要是因為系統通過屏幕錄制的模塊可以和計算機運行保持同步,所以在安全角度就需要做到完整性以及隱秘性,而屏幕錄制在運行時沒有占據較多的內存,從而能夠充分保存計算機為日常工作提供便利性。從近年來發展情況可知,存儲技術在不斷進步,其中以大容量存儲設備最為顯著,通過這些大容量的設備而更好地滿足信息管理中對空間的需求情況。此外,通過壓縮的方式也可以釋放一定的內存。
2)分析監聽模塊
在本文中所設計的信息系統還增加了監聽模塊,主要是從網絡流量的情況而做好信息保密工作。因此,在設計本系統中,還增加了一個管理信息管理的模塊,主要是信息管理計算機進行監聽,例如其中的網絡流量情況、數據傳輸速度以及信息的保密性等,經過技術人員研究之后所得到本系統的功能如下:第一,系統對信息數據包的截獲情況,此時可以運用軟件對網絡中的信息進行監測,然后通過信息源中的主機情況進行分析,從而能夠將信息從主機服務口實施過濾,促成相關信息形成日志,第二,協議分析,這主要是針對信息傳輸工作中,主要是將數據信息轉化文字信息,同時能夠掌握好數據信息[8],從而便于工作人員提升對網絡性能的監控能力,從而能夠對網絡安全運行而提供良好的保障性。因此,在計算機中需要通過網絡正常的方式而提升信息的安全度。通過數據包的截獲,可以對其中的信息數據進行分析與匹配,工作人員就能夠從一些可以信息中找出可疑信息,進而能夠對保護原始數據帶來幫助。
4結束語
當前,企業在發展過程中需要不斷擴大業務范圍,從而能夠有效鞏固自己的市場地位,同時也能夠有效節約企業發展所需要的成本。而在信息化發展的背景下,人們已經對計算機技術產生了較大的依賴性,同時人們日常工作中對借助于信息化技術幫助也極大地提升了工作效率,并逐漸建成企業中的網絡系統、門戶系統以及郵件系統,而在實際管理企業信息系統方面還需要不斷加強,從而保護好企業發展中的各種信息,尤其是處理企業中所存在的安全問題,從而有效防止企業內部的信息出現泄漏的情況。文章中所設計系統經過實踐運用對企業信息保護帶來積極幫助,然而在實際工作中還需要針對新情況而不斷完善。
參考文獻:
[1]石玉成.企業內網USB設備監控與審計管理系統的設計與實現[J].信息安全與技術,2013,4(1).
[2]呂志強,劉喆,常子敬,等.惡意USB設備攻擊與防護技術研究[J].信息安全研究,2016,2(2).
[3]王義春.基于IBE的電力內網安全機制研究[J].黑龍江科學,2016,7(4).
[4]王義春.基于IBE的電力內網安全機制研究[J].黑龍江科學,2016,7(17).
[5]于寶東.桌面安全系統助力石化企業計算機終端管理[J].中國管理信息化,2015,18(2).
[6]劉梁,姚文,張晶,等.淺談三級氣象信息系統測評及安全防護策略[J].信息安全與技術,2013,4(4).
[7]劉梁,姚文,張晶,等.淺談三級氣象信息系統測評及安全防護策略[J].信息安全與技術,2013,4(4).
篇2
電力企業作為能源行業的重要組成,隨著網絡通信技術的廣泛應用,逐漸形成完善的計算機網絡信息安全管理系統。然而,由于電力企業地域性分布廣泛,各類業務應用相對繁雜,特別是網絡拓撲結構交錯性強,加之來自網絡內外的各類潛在病毒及黑客攻擊的干擾,網絡安全問題面臨嚴峻挑戰。本研究將從電力企業內網安全管理入手,就其風險因素及防范技術展開探討。
一、電力企業內網面臨的完全威脅
內網是相對于外網而言,在電力企業內外建設上,根據不同應用領域和管理實際,內網建設多以核心交換機為中心,來實現對不同部門、不同業務之間的協同管理。其面臨的安全威脅主要表現在:
一是物理層面的風險,如信息中心各主要服務器、路由器、交換機、工作站等硬件設備、線纜的安全,在進行網絡部署時未能從防火、抗震、抗電磁輻射干擾上進行優化,特別是未對接地電阻、獨立接地體,以及線纜屏蔽層進行防護,對于重要服務器及重要網絡設備未建立雙UPS電源管理,對一些關鍵數據設備在出現故障時未進行容災備份設計。
二是網絡架構安全因素,由于內網設計不同領域、不同部門的每一個員工,在不同站點之間采用不同的連接方式,如有些是光纖連接、有些是租賃專線,有些是VPN連接;在網絡拓撲結構上因設備系統擴展,缺乏科學規劃,導致邏輯網絡子網劃分不合理、子網間不安全連接問題突出。
三是網絡系統設置因素,對于不同主機系統、網絡設備等硬件在安全配置上存在漏洞,有些系統補丁不健全,容易留下攻擊隱患;有些配置管理操作不規范,如一些路由器配置不合理,特別是針對Windows系統與Linux系統共存環境下的內網配置參數問題,都給系統管理帶來影響。四是應用軟件風險因素,從內網應用軟件系統來看,一方面為辦公系統軟件,設計系統等通用軟件,另一方面是電力系統協同軟件,財務軟件等行業類軟件,再者是圍繞電力生產、供應、管理、調度而開發的專用自動化系統軟件,營銷系統等。
由于不同軟件廠家在軟件設計、使用及軟件漏洞管理上都存在不足,而電力企業在內網應用軟件管理上未能進行協同推進,特別是軟件的口令授權、權限設置,軟件系統數據管理及配置、備份管理等問題,都可能帶來更多安全缺陷。五是病毒防范及信息安全意識不足,對于內網,同樣需要關注病毒侵害風險,特別是在一些文檔傳輸中,對于病毒的形式、傳播途徑等未能進行專業防范,特別是風險意識不足,未能真正從制度上、管理上落實安全管理要求。
二、電力企業內網安全管理技術
(一)防火墻技術的應用。
在企業內外網最關鍵的安全防線就是防火墻,一方面防火墻阻止外網的未經許可的訪問,另一方面實現對內網的安全防護。利用防火墻中的包過濾技術,可以實現對未經授權的訪問流進行檢索和控制。如判定數據請求的源地址、目標地質是否安全,數據傳輸端口是否正確;同時,防火墻還可以通過對傳輸數據的相關地址屬性信息來判定數據包的請求是否合法,并進行優化處理; 另外,利用防火墻,還可以實現IP地址的轉換,特別是通過地址映射技術,實現對內網網絡中的IP地址進行虛擬化管理,實現對內網的安全保護。
(二)漏洞掃描及入侵檢測技術。
對于網絡安全的檢測與管理,通常需要從漏洞掃描技術應用中,來發現本地網絡及內部其他網絡的安全脆弱性問題。特別是對網絡系統內部各類運行行為的掃描,分析安全日志并監測不同內網用戶的操作行為是否合法,并從系統平臺的安全策略檢測上,對可疑行為發出告警。如利用分段入侵檢測來檢查網絡系統安全防護結構的完整性,提升內網安全管理效度。
(三)網絡安全防護技術。
從內網安全管理實踐來看,網絡安全防護技術主要通過對網絡系統設備、軟硬件系統進行正確配置和合理優化,來抵御可能存在的內網安全風險。如在操作系統登錄管理上,利用授權賬戶管理,并從密碼及有效期限,以及操作權限上進行分級管理;在進行內網遠程登錄連接過程中,所有數據傳輸實施加密協議,如基于WEB的SSL、TLS加密技術;對于來自網絡內的各類Dos攻擊行為,利用路由器來設置拒絕服務模式,提升設備的可用性。
(四)防病毒軟件技術。
計算機病毒是影響內網安全的重要風險,在病毒防御及控制上,需要圍繞系統性、綜合性特點來部署。由于病毒的發生具有隨機性、動態性,在進行病毒防范上,需要結合病毒特征碼、程序行為、關鍵字等進行檢測,而病毒庫的更新尤為重要。因此,在病毒防范技術上,一方面做好病毒庫的升級更新,另一方面一旦發現病毒,需要從系統隔離、病毒清除、文件保護等方面進行處理,特別是針對一些常見的、惡意病毒,要實施全方位、多層次的病毒防御體系,確保每一臺內網機器的安全。
三、結語
電力系統內網安全管理工作不容忽視,通過對內網安全管理中的問題進行分析,并從安全管理技術上,加強綜合性防范。同時,內網安全管理要注重人的關鍵性,要不斷加強安全意識教育,從制度上提升內網操作的安全水平,最大限度減少內網用戶的安全威脅,保障內網的穩定、可靠運行。
篇3
關鍵詞:電子政務 內網 信息安全 風險分析
一、前言
政務內網是指政府機關內部專門用于處理業務工作的辦公網絡,是政府部門內部工作聯絡、信息傳遞的現代化信息基礎設施。其特點有二:一是與社會信息網絡物理隔離、相對獨立運行;二是涵蓋政府部門用于執行政府職能的信息系統,所涉及的眾多信息都帶有保密性[1]。
電子政務給傳統的政府工作注入了全新活力,大大提高了行政管理效率,改善了政府工作環境,增強了政府行政能力。目前,信息技術已滲透并服務于政府工作的各個領域,正在發揮著越來越重要的作用。但是,信息技術也是一把“雙刃劍”,它在提高政府工作效率的同時,也引入了眾多安全隱患。特別是在政務內網的信息化建設過程中,從人、管理、技術三個方面衡量,還存在著內部公務人員信息安全意識不高、管理措施不到位、技術手段不足、信息化應用推進與信息安全建設不夠同步等問題。在政府信息化推進過程中,這些問題產生的后果有可能給不法分子以可乘之機,而使政府造成損失;嚴重阻礙政府的行政工作,甚至還會造成政府工作系統的癱瘓,直接危害國家安全。
在信息時代,由網絡信息安全問題引發的損失將會全方位地危及一個國家的政治、軍事、經濟、文化、社會生活的各個方面,使國家處于信息戰和高度經濟金融風險的威脅之中[2]。保證網絡安全運行已提升到維護國家、保護國家安全的高度。因此,如何解決信息安全問題已經成為整個電子政務構建過程中所面臨的重要課題。
二、政務內網安全風險分析
隨著網絡規模的不斷擴大,網絡及應用系統所受到的安全威脅就越嚴重。由于政府部門許多應用系統開發建設時間較早,早期的系統開發設計中對信息安全考慮較少,系統較脆弱,所面臨的安全風險較大。為了達到信息安全的基本目的,必須積極預防可能出現的針對政務 內網信息及其應用系統的各種安全威脅。主要的安全風險包括以下6個方面。
⒈內部人員主動竊密和破壞
一是內部工作人員利用工作、職務之便,將其能接觸到的文件、數據、內部工作信息等提供給敵對組織和個人。二是內部人員有意或無意泄密,更改記錄信息,內部非授權人員有意或無意偷竊信息,更改網絡配置和記錄信息,內部人員破壞網絡系統,等等。據統計,來自網絡內部的攻擊占整個安全攻擊總量的70%以上[3]。
⒉工作人員安全保密意識薄弱
少數工作人員缺乏基本的信息安全保密知識,不了解信息化過程中對應的安全風險,如內部口令互串;沒有意識到信息安全問題不僅僅是職能部門的事,更是每個人必須遵守和維護的重要工作。在具體工作中,違規操作、有章不循、監管不力、“制度如林,落實無人”等現象大量存在。
⒊各種移動存儲介質管理和使用混亂
對移動存儲介質,移動計算機設備的使用上缺乏有效的監控手段,普遍存在隨意處理各類密級文件、隨意使用私人存儲介質、隨意拷貝文件的現象,如此造成知密面擴大,甚至移動設備丟失,直接造成泄密。
⒋對保密信息監管不力
各類電子文檔在使用過程中有效的認證、授權使用和監管措施不夠。電子文檔不同于一般紙質文件,它的拷貝、復制和傳遞都具有特殊性。電子文檔隨意拷貝、復制,很有可能造成知密面擴大、文件丟失、文件被篡改甚至發生泄密事件。重要應用系統沒有審計功能,或審計功能相對薄弱,對可能發生竊取行為、未經授權或越權使用資源的現象沒有有效的記錄和取證能力,無法滿足事后追究責任的需要。
⒌技術措施不完善
一是在某些應用系統中安全性考慮不夠,開發隊伍缺乏保證應用安全的經驗,應用系統配置和部署考慮安全性還不周到,對重要信息系統中數據的訪問控制措施不夠。二是內部網絡系統由于文件交換等情況感染計算機病毒、網絡蠕蟲和其他惡意代碼,直接造成系統破壞、網絡癱瘓、數據丟失等。三是信息安全專職管理人員在數量上和技術上還不能滿足政府高標準的安全保密工作需求,這就造成工作人員因人手問題而無法分權管理,因能力問題而不能提供有效保障。
⒍信息安全責任體系尚不健全
政務內網的信息安全責任體系尚不健全,存在各部門職責劃分不清,多頭指導、政出多門,建設和監督未能有效分離,檢查督促不到位,出現問題難以落實到人等問題。這些問題造成內部管理混亂,責任不明確,技術措施不能到位,出現問題互相推諉等現象,嚴重影響政務內網整體的信息安全防范能力。
三、政務內網信息安全狀況
基于以上安全風險分析,當前政務內網的信息安全綜合保障能力與政府職能部門對信息安全保密整體要求仍有較大的差距,其突出表現在以下5個方面。
⒈內部工作人員的保密安全意識亟待加強
政府的工作性質決定了對工作人員有很高的保密要求,但是在日常工作中工作人員對信息安全問題還存在不少認知盲區,對網絡信息不安全的事實認識不足,誤認為政務內網實施了物理隔離就安全無憂了。不少工作人員的安全保密意識淡薄,這種有章不循、有禁不止的現象導致了很大的安全隱患。
⒉信息加密措施不能滿足實際需要
加密是信息安全的核心,目前政務信息化建設正在不斷深化,許多應用系統已應用于政務內網,越來越多的數據信息通過網絡和計算機完成處理和交換任務。雖然目前已經對加密問題采取了一些措施,但加密仍是政務內網信息安全保密工作亟待解決的問題之一。
⒊信息安全組織管理、培訓工作滯后
信息安全是一項管理工程,任何技術手段都需要管理來落實。目前政務內網的信息安全管理人員大多屬于兼職,缺乏有力的組織保障以及系統和規范的教育培訓。組織機構不健全嚴重影響了信息安全管理工作的落實,造成信息安全管理工作的滯后。
⒋信息安全整體防范工作薄弱
政務內網信息安全工作,仍停留在查缺補漏階段,防范方式簡單,對防范手段缺乏系統的梳理和體系化的規劃建設,整體防范能力較低,普遍存在僥幸心理,沒有形成主動防范、積極應對的全民意識, 更無法從根本上提高網絡監測、防護、響應、恢復和抗擊能力。這種狀況已不能適應政務工作信息化的需求[4]。
⒌缺乏有針對性的信息安全防范技術措施
政府業務應用各類多樣,其保密要求高,社會上通用的技術手段遠遠不能滿足其安全需求;急需與之相適應的各類專用安全保密技術措施。
四、政務內網的安全需求
政務內網的安全需求主要包括以下一些方面:
⑴需要與外部社會公共信息網絡實施嚴格的物理隔離或物理隔斷;
⑵政務內網需要保護核心網絡免遭非信任主體的外部干擾或篡改,或者其安全功能被非信任主體旁路[5];
⑶需要提供訪問控制機制,確保對核心網絡的不信任連接進行控制與防范,對各類共享信息的安全和有序訪問;
⑷需要提供信息在網絡系統間的加密傳輸,保護其機密性和完整性的方法;
⑸需要提生證據的方法,該證據可用于抗抵賴服務;
⑹需要能唯一標識網絡用戶,在允許用戶訪問應用系統服務之前通過相應的身份鑒別;
⑺需要授權結果的有效性,確保授權數據源不能被非授權用戶訪問;
⑻需要提供集中的病毒檢查和控制機制,確保所有內網主機系統和數據對病毒的侵擾具有預警和防范能力;
⑼需要提供與安全相關事件的記錄和審計手段,并根據事件分析進行預警和防范的能力;
⑽需要提供管理和配置內部網絡系統的安全措施,只有獲得授權的管理員才能使用這些措施;
⑾需要提供相應的系統及數據備份機制。
五、政務內網信息安全防護對策
⒈強化安全教育
信息安全是電子政務開展各項工作的前提,更是維系工作的關鍵。信息化和信息安全的建設,需要帶著安全保密意識來統一規劃、規范指導、有效監管。信息安全是人、管理、技術的有機結合,其中人是根本,管理是關鍵,技術是保證。通過普及教育、專業培訓等方式,對不同類型的人員進行相關的安全教育,要使所有公務人員都能充分認識到“人是安全信息系統的重要組成部分”,沒有安全可靠的各級人員的參與,任何信息系統都是不安全的。越是對授予較高權限的人員,越要增強其安全意識。
⒉強化安全管理
建立信息安全責任體系,嚴格落實崗位責任制,建立全過程、全壽命的信息安全機制。通過加強組織保障、加強管理運行、加強針對措施、加強技術手段來減少人員違規操作和犯錯誤的機會。相關策略有:建立信息安全運行管理體系,以網絡管理中心、審計與風險分析中心、檢測與監控中心、CA中心、密鑰管理中心、防病毒管理中心等為依托,分別對有關的安全機制進行統一配置和管理,匯集有關信息,并通過對匯集信息的分析做出行動決策;以嚴格的管理使技術措施發揮作用,以技術手段強化安全管理,使管理鋼性化,形成威懾,不給不法分子以可乘之機,嚴防各類安全事件的發生。
⒊強化安全技術
⑴針對內部人員對網絡信息系統的隨意訪問現象,可采取指紋、智能卡、網絡身份認證(PKI/CA)等多種強認證方式實現身份認證和授權管理,保證內部信息的合法使用;
⑵針對內部人員隨意拷貝、打印文件,安裝、使用與工作無關軟件等行為,可采用內部安全監控和審計技術,控制出入口,以保證信息的受控使用;
⑶針對信息的傳輸加密問題,在鏈路層和網絡層可使用國家密碼管理局批準裝備使用的密碼設備;
⑷針對網絡和重要數據庫的訪問審計薄弱,可采用網絡與數據庫審計系統,記錄所有用戶的使用行為,以保證事后追查;
⑸針對網絡中的非法訪問、攻擊和病毒傳播等問題,可采用防火墻、入侵檢測、防病毒等多種技術手段,以保證基礎網絡系統的安全;
⑹針對移動介質的使用管理混亂問題,可采取標識和鑒別技術,保證工作用移動介質的授權使用,統一編碼,統一管理,同時禁止私人移動存儲介質在內部信息系統使用。
六、結束語
在政務信息化推進過程中,信息安全風險分析及信息安全防范工作,是一項長期而復雜的系統工程。各級公務人員必須時刻牢記和必須做到:將安全保密理念貫穿于整個系統的生命周期,保證政務內網在規劃、建設、測試、驗收、運行、維護、升級以及廢棄的全過程中都能處在一個符合規定要求、可接受的低風險狀態。
參考文獻:
1 楊敬.電子政務中的信息安全管理[J].內蒙古科技與經濟,2007(16)
2 李彥輝,王述洋,王春艷.網絡信息安全技術綜述[J].林業勞動安全,2007,20(1):25-29
3 朱衛未.電子政務系統信息安全策略研究[D].合肥:中國科學技術大學,2006
4 陳淑蘭.電子政務安全問題探討[J].沿海企業與科技,2007(8)
5 吳曉平.PKI_CA在專用信息系統中的建設及應用研究[D].成都:四川大學,2006
作者簡介:
篇4
【關鍵詞】電力企業信息安全管理;組織管理;失誤因素
1 電力企業信息安全管理中組織管理失誤的分析方法
電力企業信息安全管理中的組織管理失誤分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通過CREAM的應用,可以將失誤事件的外在表現形式稱為失效模式,并且將引起這些失誤事件的直接原因定義為前因。實踐中,前因可分為具體的前因、一般性前因,CREAM分析法是以失效模式作為出發點。首先,通過分析失效模式的一般前因、具體前因,得到失效模式前因表,在表中選定一個前因作為后果,然后分析引起這一后果的可能前因,最終得到包含這一后果、可能的前因追溯表;再以該可能前因為后果,分析可能的前因,通過連續不斷的尋找,最終找到引起事件失誤的根本原因。
2 在電力電力企業信息組織管理過程中,開展多項管控措施、分三步走
第一步,從思想上加強重視。實踐中,應當認真學習貫徹違規外聯、外網郵箱發送的要求,嚴格按照“業務工作誰主管,保密工作誰負責”以及“統一領導、分級負責”的原則,將信息安全保密職責有效地落實到人,讓每個員工熟悉、掌握保密工作的基本要求和規范。
第二步,深入檢查,全面整改。實踐中,應當嚴格按照檢查內容檢查,一定不能留死角、搞形式。在檢查中發現的問題,要立即糾正,認真整改,對存在嚴重問題的單位要監督整改,并組織復查;發生泄密、違規問題時,一定要嚴肅查處,必要時還要追究責任人的責任。
第三步,嚴格管理,務求實效。要進一步落實保密工作責任制,堅持標本兼治、系統治理,把檢查活動與日常保密工作安排結合起來,邊檢查邊整改,以查促管、以查促改、以查促教、以查促防,確保檢查取得實效。
3 電力企業信息系統安全管理的必要性
電力企業信息系統安全管理,是企業在一定范圍內建立起來的信息安全目標和方針,并通過努力完成目標。對于電力企業信息安全管理而言,可表示為方法、目的、基本原則和實施過程等要素集合,作為直接的信息安全管理結果。2014年8月,某技術質管部專責高某通過電子郵箱將創新成果--《電力設計企業基于桌面云技術的信息》以附件形式經壓縮、更名后在沒有經過加密的情況下,發送到某部門專家評審組;由于附件內容出現“保密”等敏感詞,該郵件被公司外網郵件攔截系統攔截。經現場查實,郵件均不涉商業秘密,但違反了“工作郵件只限于公司內網郵箱發送”規定。由此可見,電力企業信息系統安全管理工作非常重要,也非常有必要。通常情況下,電力企業信息安全管理工作主要包括制定信息安全管理的策略,合理、科學的對電力企業信息安全工作進行組織管理,具有非常重要的作用。電力企業應當提高全體員工的信息安全意識,加強電力電力企業信息內外網安全管理。第一,內、外網電腦都必須安裝三種軟件,即北信源、天以及趨勢殺毒。軟件有內、外網版本之別,而且客戶端也不同;第二,遵守專機、專網之規定,內網電腦不能與外網相連接,外網電腦不能連接內網,家用電腦不能接入內網使用,尤其是來歷不明、使用背景不明的電腦,一律禁止接入內網系統。
4 電力企業信息安全管理中組織管理常見失誤
近年來,隨著市場經濟體制改革的不斷深化,雖然電力企業信息安全管理水平有了很大程度的提升,但電力企業信息安全管理過程中依然存在著一些問題與不足,總結之,主要表現在以下幾個方面:
第一,信息安全措施和技術手段不成熟。對于大多數企業而言,在信息系統建設過程中欠缺完善的安全手段和措施,嚴重影響了安全措施的制定與執行。
第二,電力企業信息安全風險控制不到位。實踐中可以看到,很多企業在信息化規劃與建設過程中,對信息安全的前期分析比較欠缺,將分析對象主要集中在技術層面研究上,很難有效解決企業安全信息系統操作失誤、缺陷與不足等安全問題。
第三,信息安全意識不強,缺乏有效的安全管理機制。對于部分企業領導層而言,對信息安全的重視不夠,對潛在的各種風險和安全隱患問題分析不到位。
5 電力企業信息安全管理體現構建的有效策略
基于以上對當前企業安全管理中的問題分析,筆者認為要想減少和控制電力企業信息安全管理中組織管理失誤現象, 應當根據企業實際生產運營狀況,以IS027001信息安全管理體系標準為基礎,從組織、技術、管理以及運行和監督這等方面入手,對現有的信息安全管理架構進行改進和完善,增加運行、監督環節。
5.1 提高對電力企業信息安全的認知度
針對企業員工對信息安全知識掌握不足的現狀和問題,通過宣傳、教育和培訓等方法,提高企業全體員工對信息安全的認知度。首先,加強信息安全宣傳教育。電力企業信息安全宣傳的目的在于讓全體員工清楚地認識到信息安全管理工作的重要性,了解信息安全管理目標,以此來提高企業員工的信息安全管理意識。
5.2 建立健全信息安全審計機制
內部審計是對電力企業信息安全管理體系建設與實施情況的評價,定期組織審計活動,以此來促進安全管理體系的改進與完善。企業的信息安全政策、規范制度是信息安全管理工作得以有效開展的重要依據,因此審計工作的主要內容是檢驗信息安全標準的符合性、執行情況。在審計過程中,主要包括如下內容,即檢驗是否按照要求制定規章制度、執行細則;檢驗員工對的規章制度執行狀況,對審計結果的整改落實情況進行核查;同時,還要對信息安全控制措施的應用效果進行全面檢查,確保評估的有效性。
5.3 建立和完善信息安全風險管理制度
信息安全風險,即威脅利用系統弱點對相關信息資產造成破壞、損失的可能性,信息系統安全與否,主要取決于其風險是否己在現有措施條件下實現了最小化,而非絕對沒有風險。
篇5
關鍵詞 管理;信息;安全;違章
中圖分類號:X934 文獻標識碼:A 文章編號:1671-7597(2013)20-0163-02
隨著科學技術的發展,信息化的進程越來越快,并在電力市場經濟環境的促使下,供電企業開始加大自身的信息化建設,信息安全管理逐步得到完善。作為新時代的一員,每個人都自然而然的成為了信息化的一部分,所以信息化同時也影響著社會上的每個人,信息安全管理的問題也成為了人們最關切的問題。
1 信息安全管理的目標描述
1.1 信息安全管理的理念
信息安全就是要確保信息內容在存取、處理和傳輸過程中保持機密性、完整性和可用性。信息安全包含信息本身(數據)的安全和信息系統的安全。其中,數據安全就是防止數據丟失、防止數據被竊取,防止數據被篡改;信息安全就是要保證系統安全穩定運行,確保有權使用系統的人能順利地使用,無權使用該系統的人無法訪問它。
1.2 信息安全管理的范圍和目標
1)信息安全管理的范圍。海安縣供電公司信息安全的范圍包括:信息系統網絡、業務應用系統及數據庫服務器、計算機終端、桌面終端、移動存儲介質等全方面的管理控制。
2)信息安全管理的目標及目標值。海安縣供電公司信息系統安全管理嚴格按照上級單位要求,鞏固公司信息安全防護基礎,強化安全風險預控手段,提高應急反應和處置能力,確保網絡與信息系統安全的萬無一失。公司信息安全管理主要包括以下指標(見附表)。
2 信息安全分類考核的主要做法
2.1 建立信息安全分類考核機制的目的
為貫徹國網以及省市公司關于信息安全工作的管理要求,確保信息系統安全穩定運行,加強公司員工信息安全責任意識,界定信息安全違章行為,進一步明確考核細則,海安縣供電公司借鑒生產安全的管理制度,出臺了《海安縣供電公司信息安全違章考核辦法(試行)》。
2.2 信息安全分類考核的依據和原則
依據國家電網公司、省市公司信息安全考核管理工作要求,以“誰主管誰負責、誰使用誰負責、誰用工誰負責、誰是設備主人誰負責”為原則。
2.3 信息安全違章行為界定
違反國家信息安全有關法律和法規;違反國家電網公司和省市公司信息安全管理規章制度。
2.4 信息安全違章行為的分類
2.4.1 一般性違章(III類違章)
1)部門及人員未按公司要求及時簽訂《信息安全保密承諾書》。
2)計算機未按規定安裝運行公司統一的防病毒軟件、補丁更新策略、桌面終端管理軟件等。
3)未按要求使用安全移動存儲介質進行內外網信息交換;擅自刪除或破壞已注冊安全移動存儲介質內的管理軟件。
4)擅自卸載(含格式化)本單位規定安裝的操作系統和業務應用系統客戶端。
5)計算機未按要求進行注冊或注冊信息與責任人信息不一致。
6)在公司所有工作場所的計算機終端上做任何與工作無關的事情(如游戲、看電影或電視劇、聊天、炒股等)。
7)違反上級公司信息安全管理規定被認定為一般違章的其他行為。
2.4.2 較嚴重違章(II類違章)
1)計算機維修未按公司要求送至指定的電腦公司處理導致與工作有關的信息外泄。
2)計算機和硬盤更換或報廢未按相關要求送至公司安全運檢部進行規范處理。
3)在計算機上安裝雙網卡或雙操作系統,進行內外網切換;私自拆卸與混用內外網計算機硬盤。
4)私自開啟文件共享導致共享文件被非授權訪問、破壞或造成泄密。
5)擅自更改計算機網卡的MAC地址或網絡端口以及在網絡設備上私拉亂接。
6)計算機、移動存儲介質、應用系統、內網郵件系統未設置登錄口令;設置了登錄口令,但口令長度低于8位且不是由大寫字母、小寫字母、數字或符號中至少3種組合構成;使用系統內的通用密碼;擅自新增用戶,未按安全密碼要求設置密碼。
7)未按規定設置密碼被桌面終端系統監控報警并經調查認定為弱口令事件。
8)未經許可在計算機上架設網站、游戲服務器、論壇等非正常網絡應用服務。
9)在非計算機中存儲和處理及通過互聯網傳輸國家、公司的信息。
10)內網計算機私自帶出公司。
11)擅自組建無線網絡并接入信息內網。
12)干擾他人正常工作行為,包括:不真實信息、垃圾信息;散布病毒及木馬;未經授權或通過口令猜測和破解等手段使用他人設備、系統、郵箱等。
13)擅自在內網計算機中安裝黑客程序、端口掃描或漏洞掃描軟件并使用其進行網絡掃描或攻擊破壞。
14)內外網計算機同處一室,經查實仍未按要求進行整改。
15)違反上級公司信息安全管理規定被認定為較嚴重違章的其他行為。
2.4.3 嚴重違章(Ⅰ類違章)
1)未經公司安全運檢部安全檢測和許可,擅自將計算機(含公用、私用筆記本、長期未使用的計算機、倉庫報廢的計算機、外來人員的計算機)等接入信息內、外網,被桌面終端系統監控報警并經調查認定為內網違規外聯事件。
2)在內、外網計算機上利用無線上網卡、WIFI或具備上網功能的手機和PDA等設備訪問互聯網,被桌面終端系統監控報警并經調查認定為內網違規外聯事件。
3)手機與內、外網計算機相連,用于充電、同步或收發短信(彩信)、郵件等,被桌面終端系統監控報警并經調查認定為內網違規外聯事件。
4)違反上級公司信息安全管理規定被認定為嚴重違章的其他行為。
2.5 信息安全違章的督查
1)各類人員必須嚴格執行信息安全規章制度,遵章守紀。各部門、供電所(含工程隊)必須認真開展自查自糾,對于發現的違章行為,嚴格按照“四不放過”的原則認真分析和嚴肅處理。實施四級信息安全日常管理制度,即個人每日一查、班組每周一查、部門每月一查、公司每季度抽查,并對管理不到位的相關責任人及管理人員進行考核。
2)對違章的查處采用專項督查、日常檢查及應用工具軟件檢查相結合的方式進行。公司將對違章行為及相應責任者進行曝光,以使責任者和廣大員工受到教育。
2.6 信息安全違章的處罰
1)處罰標準。
①I類違章:10000元以上或待崗處理。
②II類違章:500-2000元。
③III類違章:200-500元。
2)違章處罰的對象為公司全體員工(含農電人員),包括社會化用工、承(分)包單位人員、外協人員等。
3)連帶責任考核。
連帶責任考核標準:因管理不到位,視管理到位情況對相關部門、供電所(含工程隊)的負責人、管理人員、班組長等進行考核。
4)對于信息安全反違章處罰的認定、處理有異議的,可逐級向上申請復議,最終以公司安委會的認定為最終結果。
5)一年內發生一起及以上嚴重違章,取消該部門、供電所(含工程隊)當年度的先進集體評選資格。
3 評估與改進
3.1 信息安全違章分類考核的評價
參照生產安全中的管理方法,建立信息安全違章分類考核機制,有利于公司全體員工信息安全意識的灌輸、宣傳、培訓,培養了良好的信息安全使用習慣,提高了全員信息安全技能水平,使信息安全意識深入人心。
建立信息安全違章分類考核機制至今,海安縣供電公司信息安全工作獲得省市公司的普遍認可與高度評價,沒有發生一起違規內網外聯事件。
3.2 信息安全管理的提升
1)加強信息安全防范工作。
近幾年來,公司對信息化的依賴程度越來越大,對信息安全工作也越來越重視,信息化水平也取得了高速的發展,但同時也出現病毒泛濫、網絡端口掃描、惡意軟件、信息外泄等威脅,企業信息和企業信息系統未經授權被訪問、使用、泄露、中斷、修改和破壞。為適應不斷變化的信息化工作,通過管理手段和技術手段強化信息安全管理工作非常必要。
2)持續提高運維人員業務水平。
隨著信息技術的發展,公司信息化水平的提高,對信息系統運維人員的技能水平提出了更高的要求。因此,為適應信息系統運行與維護工作的需要,公司信息系統運維人員的技能水平和綜合業務水平應該持續加強。
3)進一步加強員工信息安全意識。
加強對信息化人員的培訓和全員信息安全意識宣傳,通過多種渠道普及網絡與信息安全相關知識。安全意識和相關技能的教育是公司安全管理中重要的內容,應當對公司各級管理人員,用戶,技術人員進行安全培訓,減少人為差錯、失誤造成的安全風險。
4 結束語
生產安全是供電企業生產管理的根本,而信息系統安全是供電企業安全生產的基礎。許多生產安全管理中的制度、措施和辦法,值得我們在信息安全管理中借鑒。
參考文獻
[1]林世溪.電力企業網絡信息安全防護體系的建立[J].華東電力,2010.
[2]杜新光.電力安全生產管理中存在的問題及其解決措施[J].中國電力教育,2009.
