個人信息安全應急演練精選(五篇)
發布時間:2023-10-09 17:41:41
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇個人信息安全應急演練,期待它們能激發您的靈感。
篇1
關鍵詞 信息安全;安全防護;信息保密
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2013)83-0024-02
1電力企業的信息安全
1.1什么是信息安全
信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。
通常來說,信息安全就是要做到五個方面內容:一是進不來,通過設置系統口令、屏保口令等使惡意人員無法進入;二是拿不走,對系統用戶有權限區分,低權限用戶無法越權獲取高權限用戶資料;三是看不懂,對重要文件進行加密處理,保證信息不曝露給非法用戶;四是改不了,確保只有得到允許的人才能修改數據,其它人無法改動;五是走不脫,使用審計、監控等手段,使得攻擊者、破壞者無法走脫。
1.2信息安全總體要求
公司信息安全堅持“雙網雙機、分區分域、安全接入、動態感知、精益管理、全面防護”總體防護策略,執行信息安全等級保護制度,防止因信息系統本身故障導致信息系統不能正常使用和系統崩潰,抵御黑客、病毒、惡意代碼等對信息系統發起的各類攻擊和破壞,防止信息內容及數據丟失和失密,防止有害信息在網上傳播,防止公司對外服務中斷和由此造成的電力系統運行事故。
2地市公司信息安全管理
2.1信息安全面臨的威脅
隨著信息技術的發展以及公司信息化建設的推進,地市公司面臨的信息安全威脅越來越多樣化。目前,信息安全面臨的威脅主要有:一是人為無意失誤,如管理漏洞、安全意識不強,操作不當等;二是人為惡意攻擊,如計算機病毒等惡意代碼;三是軟硬件的漏洞和“后門”,如操作系統、數據庫及應用系統本身存在的缺陷和漏洞;四是設備故障;五是自然災害。
2.2信息安全管理
2.2.1安全制度建設
地市公司要根據上級公司的相關要求,結合本公司所面臨的信息安全威脅,從網絡、終端、應用、管理等各方面建立完善一整套信息安全管理制度。管理制度主要包括:《計算機機房安全管理制度》、《安全責任制度》、《網絡安全制度》、《系統安全風險管理和應急處置制度》、《操作權限管理制度》、《用戶登記制度》、《重要設備、介質管理制度》、《信息審查、登記、保存、清除和備份制度》等等。這些信息安全制度在公司信息安全工作中起著根本性、指導性和全局性的作用。
地市公司要根據實際情況制定信息安全通報制度,加大全體員工對信息安全的重視程度,提高信息安全的管理效率。通報分為例行通報、緊急通報兩類,通報內容包括:一是圍繞信息安全考核指標的日常工作;二是信息安全的專項工作;三是信息安全事件的預警、響應、研判和處置情況。
地市公司要建立信息安全監督制度,要求各單位、部門對危害信息安全的各類危險源點進行自查整改。信通公司作為信息安全主管部門進行現場檢查和遠程檢查。
地市公司要建立信息安全應急處置制度。為了正確、有效和快速地處理信息安全突發事件,最大限度地減少突發事件對公司生產、經營、管理造成的損失和對社會的不良影響,需要定期修訂完善應急預案和開展應急演練。同時,地市公司還要定期組織全體信息運維人員學習應急預案,做到熟悉預案,了解如何應對突發事件,明確各自職責和處理程序,真正確保突發事件下的信息安全。
2.2.2人才隊伍建設
信息安全工作需要必須的人力資源來支撐。地市公司要按照“誰主管誰負責,誰運營誰負責,誰使用誰負責” 的原則,落實專門機構和人員負責信息安全工作。目前,地市公司的信息安全運維管理由信通公司負責,主要工作包括有系統的安全運維、信息安全的技術保障、信息安全事故應急處理及員工信息安全教育等。地市公司還應根據工作地點及人員分散的特點建立一只信息兼職隊伍。通過信息兼職隊伍的壯大及能力的提升,使信息安全邁上新的臺階。
2.2.3防護系統建設
安全技術是信息安全的主體,信息安全離不開安全技術的實施和安全產品的部署。地市公司必須要部署防火墻、入侵檢測系統、防病毒系統、桌面終端標準化管理系統等各種安全防護系統。這些系統的部署給信息安全提供了多層次、全方位的安全防護。
部署防病毒系統。Symantec endpoint Protection提供端點安全解決方案,它實現防病毒、防間諜軟件、防火墻、入侵防御和網絡威脅防護等多種功能,并且通過策略的設置,可以防范安全違規事件的發生。它具有系統性和主動性的特點,能夠實現全方位多級安全防護。
部署桌面終端管理系統。桌面終端系統應實現對公司內部終端的軟硬件、數據保密的集中化和標準化管理,提高公司內部終端的安全性及維護管理的效率。
地市公司還應利用在網絡設備上采取IP地址與MAC地址綁定的技術手段限制不明非法的設備接入到信息內網中。同時,還應制定網絡接入設備審批制度,嚴格控制和管理接入信息內網的設備。
2.2.4系統安全建設
系統安全分為物理安全和運行安全兩個部分。
物理安全主要是指主機存儲設備、網絡設備、安全設備及機房輔助設備安全。設備放置在專門的信息機房內,通過門禁系統及機房監控系統保證這些設備自身的安全。地市公司應制定機房管理、機房出入人員管理等制度,對設備安全管理、機房環境管理、人員出入訪問控制管理等做出詳細的規定。同時,地市公司還應指定專人負責各類設備的管理工作,定期聯系專業廠家對設備進行巡檢,做到問題早發現,早解決。
運行安全主要是指業務應用系統、網絡系統及數據庫系統等運行安全。主要系統應采用雙機的方式來建設。所有的系統都有專人負責,地市公司定期對系統的運行狀態進行巡視、備份等工作。同時,地市公司還要對設備的賬戶安全、網絡安全、服務安全、日志安全等方面開展加固工作,保障系統的安全穩定運行。
2.2.5個人安全建設
地市公司應從管控與培訓兩個方面開展個人信息安全建設。
所有終端設備應統一安裝桌面終端管理系統、防病毒系統和補丁升級系統等安全防護系統。地市公司要每日安排專人監控終端設備,發現問題及時整改,保證桌面終端注冊率、防病毒安裝率,補丁安裝率是100%。
教育培訓是提升員工個人信息安全意識和技術水平的重要手段。通過開展安全講座、建設專題網站、印發宣傳手冊和巡展宣傳展板等多種形式加強信息安全知識的宣傳,使每個員工懂得信息安全違規行為的防范知識。
2.2.6信息保密建設
地市公司要嚴格執行“信息不上網,上網信息不”的保密要求,對發現的違規失密、泄密事件嚴肅處理。信息保密工作主要有:一是強化信息保密教育培訓,使員工明確信息保密安全防護要求;二是加強對終端和網絡的保密管理,防止敏感、信息的丟失以及有害信息在網上傳播。
篇2
1 引言
隨著計算機和網絡通信技術的快速發展,信息技術越來越多地被應用于銀行各項業務,銀行可以為客戶提供“3A”(Anytime,Anywhere,Anyway)服務,信息技術在給業務辦理帶來巨大方便、高效的同時,也帶來了極大的信息安全隱患。從一般概念上來講,網絡信息安全主要指網絡信息的完整性、保密性、可用性、真實性和不可抵賴性。但是銀行作為一個特殊的機構關乎國家經濟命脈和人民生活,銀行信息安全自然非常重要,它是指銀行信息系統的軟硬件資源及其數據受到嚴格保護,不受惡意的或偶然的原因而遭到更改、破壞、泄露,系統可持續穩定可靠地運行,信息服務不間斷。銀行信息安全是銀行業務開展的基礎,是銀行經營穩健運行的保障。
2 我國銀行信息安全的現狀
自1998年3月6日,中國銀行業務系統第一次成功辦理電子商務交易,從此開始了中國內地網上銀行業務發展的序幕。近年來,我國銀行業的信息系統經歷了地震、泥石流等各種各樣的考驗,充分說明了我國大陸銀行業信息系統建設取得了一定成績,同時監管層也頒布了《金融機構計算機信息系統安全保護工作暫行規定》、《關于進一步加強銀行業金融機構信息安全保障工作的指導意見》等政策法規。目前,各大銀行已經意識到網絡信息安全的重要性,成立了信息安全專門管理機構,并在信息安全管理機構內養一些專業人才,并增加了信息安全的投入。
雖然中國銀行業在信息安全建設方面取得了佳績,但是銀行信息安全危險依然存在,銀行信息安全保障依然不能忽視。據了解,國內網絡犯罪案件呈現逐年上升的態勢,其中銀行信息安全方面的犯罪率達到了60%以上。據互聯網新聞報道,2009年上海農商銀行信息系統出現故障,區域內大量營業網點無法正常辦理業務;2010年2月3日中國民生銀行網絡信息系統出現長達4小時的系統故障,全國范圍內無法辦理業務;2014年2月支付寶員工在信息系統的后臺下載了大量客戶信息有償出售給其他電商公司。上述事件嚴重影響了人民的利益,對金融企業的形象和聲譽造成了極大的負面影響,充分暴露出銀行業機構在網絡信息安全領域有較大隱患,不容小覷。
3 銀行信息安全存在的問題
銀行信息安全系統的建設是一個龐大復雜的工程,大部分工作牽扯到銀行業務管理水平和信息安全技術,目前無論從系統管理的角度還是從安全技術水平的角度,銀行信息安全方面都存在著較多問題,下面從這兩個方面展開論述。
3.1 從業務管理的角度看銀行信息安全存在的問題
⑴對信息安全的認識不到位,信息安全的意識觀念薄弱
銀行業的信息安全問題,首先是意識和觀念的問題。不管是管理層還是底層員工,能認識到網絡信息安全的重要性,熟悉信息安全的基本內容和具體工作要求是非常重要的。人們往往認為信息安全的核心安全性取決于核心技術,其實這種思想是錯誤的,信息安全首先取決于基本規范的實施和安全手段的應用。
⑵重視信息安全產品的投入而忽視管理投入,應急預案不完備
網絡信息安全投入不完全是安全產品和工具的投入,還應包括操作流程、應急處理機制策略等方面的投入,還必須配套與安全產品有相適應的過程管理機制。建立合理的流程管理機制需要投入,這些投入與安全體系的完整性有著緊密的聯系,否則報警無人處理、入侵無人響應,效果并不理想。應急預案的覆蓋范圍必須足夠廣,制定規范性、系統性應急預案并進行實踐檢驗,部分應急預案的制定與銀行實際工作情況沒有關聯,側重于應急預案的形式,而不注重應急演練實踐檢驗,極少有銀行機構做到模擬真實場景進行應急演練和評估風險。
⑶銀行缺少信息安全管理的復合型人才
金融管理離不開管理方面的人才,金融企業信息安全管理需要復合型人才,這種復合型人才必須熟悉計算機和網絡技術,又要懂銀行業務流程和信息安全風險防范知識。目前,這種復合型人才還比較少。各大銀行的信息安全專業技術人員大部分都是畢業于計算機或相關專業,他們對計算機專業知識相對比較了解,但是對銀行業務的工作流程和信息系統潛在威脅的把握還不夠。
3.2從專業技術角度看銀行信息安全存在的問題
⑴銀行使用的軟件安全性比較弱
由于計算機應用軟件是銀行內部信息的載體,所以軟件本身的質量相當重要。目前銀行業務系統的軟件體系,包括項目管理系統和軟件開發生命周期都只注重軟件功能、開發速度和市場,很少考慮安全的需要。現在發現管理和技術上存在的安全威脅,主要出現在應用軟件安全設計上。
⑵系統漏洞和信息泄密
所謂漏洞一般是指系統設計開發人員在軟件開發的時候,故意設置的。這樣做的目的是為了保證銀行從業人員在某些特殊情況下失去系統訪問權限時可以順利進入系統,正是因這些軟件漏洞的存在,給銀行業務系統帶來了信息安全威脅,這樣就會造成信息的泄露。其次,銀行的內部職工最熟悉金融企業的計算機應用系統,他們知道那些操作能使計算機系統出現故障、損壞或泄密。某些時候金融企業裁員也可能導致計算機泄密,當裁員時某些系統賬號沒有及時刪除,也可能導致重要敏感信息的泄露。
⑶計算機黑客的惡意入侵
網絡黑客是一些具備較強計算機專業技術知識的愛好者,他們可以在他人無法察覺的情況下,利用計算機設備侵入一些重要行業的計算機系統,并從中獲的有價值信息或破壞信息系統。大多數的網絡黑客主要利用計算機軟件系統的漏洞來入侵信息系統,入侵方法高明且多種多樣,并且入侵手段更新速度也很快,從而使現有的計算機系統安全產品很難及時做出相應的預防,進而導致計算機網絡經常遭到網絡黑客的侵入。
⑷計算機病毒和木馬
計算機病毒是目前信息安全主要威脅因素之一,而且現在的計算機病毒千奇百怪,多種多樣。計算機病毒是一些計算機愛好者刻意編寫的程序代碼,具有類似于生物病毒的破壞性、傳染性、隱蔽性等特點。為了保證銀行計算機網絡系統的安全運行,應重視防范病毒。另外還有就是木馬程序,木馬程序是一種由攻擊者悄悄安裝在受害人計算機上的竊聽及控制程序,通常包括控制端和被控制端兩個部分,被控制端程序通過網絡或其他介質植入受害人計算機,控制端程序則安裝在不法分子的計算機設備上,利用控制端遠程的和被控制端傳送數據,以竊取受害人計算機上的資源,盜取個人信息和各種重要敏感數據,給單位和個人造成相當大的損失。
⑸災備措施不完善和基礎設施故障
銀行的災難備份和恢復能力必須進一步加強,中國銀行業的災備系統類型比較單一,覆蓋面還較小,尤其缺乏系統的災難恢復方案。正因為這些情況的存在,導致了各種各樣的自然災害發生后,無法立刻啟動應急預案并快速切換到備份系統,所以才會出現長達數小時的信息服務中斷。計算機基礎設施可以說是任何計算機系統安全運行的保障,當基礎設施出現故障后,勢必會造成信息服務的中斷,同時這種情況的發生是不可預知的。基礎設施的出現故障的原因比較復雜而且多樣化,具體包括服務器電源故障、網線老化、通信中斷等。
4 銀行信息安全風險的應對策略與建議
從以上關于我國銀行信息安全問題的分析可以知,構建一套可行的銀行信息系統安全保障體系和方法,加強防范信息安全風險勢在必行。因此,應做好以下方面的工作。
⑴認真做好相關專業人員的安全意識教育,而且常抓不懈
銀行內部比須加強信息安全監管和懲戒力度,明確法律責任,將信息安全的責任落實到每個相關人員,出現問題誰負責追究誰,將違規操作的可能性降到最低。對于銀行而言,任何的數據和客戶信息都非常重要,必須有嚴格的保密規定,但是常常在實際工作中出現這樣那樣的小問題,因此要強化內部員工的安全意識教育和信息安全基礎知識培訓,此項工作必須常抓不懈,然后將相關內容整理成冊,定期的學習考核。必要時,有機會接觸重要信息的員工在進入崗位之前必須做出書面承諾,保密承諾要包括重要信息的范圍以及泄密需要承擔的相應責任,使每一個能接觸重要信息的人員明確信息泄露的危害。同時通過培訓,提高所有參與管理的人員信息安全和風險防范意識,關鍵是要重點培養信息安全的業務骨干。
⑵建立與災備體系相適應的應急管理機制,兩者缺一不可
日常生活中突發事件是不可預知的,尤其是各種各樣的自然災害,其破壞力比較大。如果銀行能事先把預防措施做到位,做到防患于未然,就可以最大限度地減少經濟損失,保證人民財產不受損失,保障國家經濟安全運行。首先是要建立完善的應急預案機制,有針對性的強化應急演練,對各種自然災害事件進行全面有效的風險評估,分類制定科學的應急方案,開展接近于實際情況的模擬應急訓練,及時評估應急演練的效果,做到突發事件發生時無死角,有的放矢,同時通過應急演練檢驗應急預案的實用性、合理性、可行性。接下就是建立與應急機制相適應的災難備份恢復系統,提高業務可持續性。大型的銀行要積極建設“兩地三中心”,中小型銀行可以考慮選擇災難備份外包服務,使銀行具備抵御火災、地震、暴雨等自然災害的能力。全面促進業務系統的連續性,著實增強銀行防范風險能力。
⑶加大銀行信息安全復合型人才的培養力度,拓寬培養渠道
任何科技工作都必須以人才為重心。為了徹底清除銀行信息化建設中的障礙,切實保障金融企業信息安全,各大銀行要大力培養信息安全復合型人才。首先根據各單位信息安全的人員結構和知識結構,在強化信息安全專業知識教育的同時,還要兼顧計算機專業知識和金融業務知識的培訓,而且此項工作必須長期堅持,做好人才儲備。在人才培養的同時還要與實踐相結合,在學習各類信息安全知識的前提條件下,組織參與培訓專業人員針對信息安全制度進行實踐檢驗。
⑷敏感重要數據務必加密,同時安裝殺毒軟件
首先,加密是確保信息安全的關鍵技術之一。越來越多的數據要求銀行的業務系統在選擇加密方式時要盡可能的有多種數據防護需求,在已有的加密方式下,多模加密技術是較好的選擇。多模加密技術是將非對稱加密算法(如RSA)和對稱加密算法(如DES和AES)相結合,在確保數據安全的同時,其多模的特性可以根據需求選擇對稱或非對稱加密方式。另外防范計算機病毒最有效的措施就在銀行的各類計算機系統中安裝正版的防病毒軟件,力爭做到病毒防范無死角無遺漏,并且確保殺毒軟件能實時更新病毒庫。對于新購置的軟件和類似于U盤的存儲介質,在使用前銀行員工須使用殺毒軟件進行全面的病毒掃描,確認安全之后方可使用。
⑸進一步推進銀行信息化技術法規和標準化體系建設
結合銀行信息化發展的實際需要,以各種方式協作,分層次和有序的加快銀行信息化技術規范和標準的建設進度。組織完善數據中心建設、數據存儲、網絡互連、安全加密、數據交換、安全認證、客戶服務方面標準的制定。對網上銀行、移動銀行、電子商務等創新產品和服務,制定與之相適應的標準和規范。同時,建立科學的監督策略,通過制度建設,強化技術標準和規范的執行強度。
篇3
【關鍵詞】計算機;網絡安全;主要隱患;措施
近年來,隨著我國逐漸進入信息化時代,計算機網絡給人們的生活帶來了諸多便利的同時,也存在很多安全隱患。計算機網絡技術的開放性特點和人們的不規范使用行為使電腦容易被攻擊而導致個人信息泄露。因此,科學的計算機網絡安全管理措施對于避免網絡安全受到威脅,確保計算機網絡信息安全具有重大意義。
1計算機網絡安全的主要隱患
1.1計算機病毒入侵
計算機病毒是一種虛擬的程序,是當前計算機網絡安全的首要隱患。病毒包括網絡病毒和文件病毒等多種類型,具有較強的潛伏性、隱蔽性、損壞性和傳染性等特征,如果計算機遭到病毒入侵,一般的殺毒軟件并不能徹底清除計算機病毒。
1.2黑客入侵
黑客入侵是常見的一種計算機網絡安全威脅。黑客非法入侵到用戶的電腦中,竊取用戶的網絡數據、信息,刪除用戶數據、盜走用戶的賬戶、密碼,甚至財產等。此外,黑客向目標計算機植入病毒時,會導致電腦死機、速度變慢、自動下載、癱瘓等現象,造成系統信息的流失和網絡癱瘓。
1.3網絡詐騙
計算機網絡技術的互通性、虛擬性和開放特性,給很多不法分子可乘之機,不法分子通常針對計算機使用者進行網絡詐騙,主要通過淘寶、京東等網絡購物平臺、QQ、微信等網絡交友工具、手機短信等手段散播虛假信息,使防騙意識薄弱的網民掉進網絡陷阱之中,進而造成其財產安全受損。
1.4網絡漏洞
大部分軟件都可能會發網絡漏洞,一旦網絡漏洞被黑客發現,很快就會被攻擊,其中惡意扣費攻擊尤為嚴重。現在比較熱門的App軟件中有97%是有漏洞的,網絡漏洞一般存在于缺乏相對完善的保護系統的個人用戶、校園用戶以及企業計算機用戶中,主要是因為網絡管理者的網絡防范意識薄弱,缺乏定期系統檢查和系統修復,導致網絡漏洞被暴露甚至擴大,從而導致個人信息泄露。
2計算機網絡安全管理的解決措施
2.1建立防火墻安全防范系統
防火墻是安全管理系統的重要組成部分,所有的數據和信息的傳輸以及訪問操作都要經過防火墻的監測和驗證,以防止黑客入侵、病毒侵染、非正常訪問等具有威脅性操作的發生,進而提高了網絡信息的安全性,對保護信息和應用程序等方面有重要的作用。因此,用戶應當建立防火墻安全防范系統,及時安裝更新防火墻軟件的版本。
2.2定期升級防病毒和殺毒軟件
防病毒軟件是做好計算機防護工作的必要安全措施。在計算機網絡安全管理中,滯后及功能不全的殺毒安全軟件將大大增加系統被病毒入侵的機率,因而為了降低病毒入侵的風險,用戶最重要的是選擇具有優良的安全性能、包含自動報警功能的防病毒和殺毒軟件,定期對殺毒軟件進行升級以保護系統。
2.3引入新型的網絡監控技術
互聯網技術的發展日新月異,傳統的維護系統的防護技術已經遠遠不能滿足用戶的需求,必須進行技術創新,引入新型的網絡監控技術。比如:①利用數據加密技術,將重要的數據進行加密處理。②用戶需要加強計算機網絡的權限設置,建立認證體系等措施方式設置密碼和訪問權限,控制訪問過程,及時對窗口進行安全檢查,防止非法入侵,盜取信息,保證網絡系統的外部安全性。此外,新興的計算機入侵檢測技術也是繼防火墻之后的第二道重要防護關口。
2.4健全應急管理機制
為了妥善應對和處置網絡與信息安全突發事件,確保系統的安全運行,健全應急管理機制是必不可缺的管理措施。網絡安全應急預案的制定可在計算機網絡安全管理的責任制度的基礎上,從以下幾方面進行完善:①及時對應急預案做出科學調整和動態更新,及時改進可行性低的地方,使應急預案充分發揮應急效果。②在以往的計算機網絡安全案例的角度上分析網絡安全事件的原因和技術短板,細化網絡安全應急預案,提高應急預案的可行性和實用性。③成立信息網絡安全事件應急處理小組,落實安全責任制,開展網絡與信息安全應急演練,形成科學、有效、反應迅速的應急工作機制,保障重要網絡信息系統的穩定運行。
2.5加強安全防范教育,提高用戶防范意識
人們的網絡安全防范意識極為薄弱,大多數計算機網絡安全隱患是由用戶使用不當造成的,所以國家相關部門應對計算機用戶加強安全防范教育。應該定期組織公益性的安全知識教育講座普及網絡安全知識,對網絡安全知識不合格的人應當進行再教育和再培訓,制定安全教育責任制,提高用戶防范意識。此外,用戶更要從自身做起,樹立網絡信息安全危機意識,自覺增強防范意識,定期查殺病毒,及時更新安全管理軟件,不輕易信任陌生人的信息等。
參考文獻
[1]意合巴古力,吳思滿江.分析計算機網絡安全的主要隱患及管理方法[J].網絡與信息工程,2016(9):69~70.
篇4
在國際信息安全環境日趨惡劣,國家全面倡導信息安全的大環境下,為了確保信息安全工作的可持續性開展及業務信息系統的穩定運行,依據集團總部《關于建立集團公司網絡與信息安全組織保障體系的通知》、鄂通信局發[2013]127號《關于進一步落實基礎電信企業網絡與信息安全責任考核及有關工作的意見》等相關文件精神,同時參考《GA/T708-2007信息安全技術-信息系統安全等級保護體系框架》、《GB/T22239-2008信息安全技術-信息系統安全等級保護基本要求》《GB/T20269-2006信息安全技術-信息系統安全管理要求》、《GB/T0984-2007信息安全技術-信息安全風險評估規范》等國家標準,制定了《信息安全管理辦法》、《信息安全策略》、《安全保障框架》及《安全保障基線規范》規范等,率先在企業內建立并實施該體系,全面倡導企業向信息安全生產經營轉型,同時積極引導合作伙伴樹立信息安全意識,規范自身的生產及合作行為,明確安全風險責任、細化管理要求,立足自身,兼顧第三方,共同打造信息安全的綠色長城,確保企業長足健康發展。通過該安全管理體系的實施,從中全面深入地挖掘現有安全體系的不足之處,并針對現有業務系統中的各類安全隱患制定了有效的整改方案并予以實施、預警,確保了移動互聯網業務的可持續性發展及業務信息系統的穩定運行。首先,組織完成企業的自有業務信息系統和合作業務信息系統的安全等級劃分工作,將平臺安全管理工作落實到具體的責任人,并簽署責任狀,從而樹立全員安全責任意識,實現人人參與安全管理。定期采用SysInternalsSuite、Nmap、Nes-sus、Openvas、Metasploit等技術對業務信息系統進行安全掃描、安全審計,并應用HIVE、Waka、PIG、Mahout等工具對海量日志、數據進行分析和審核,發現相關漏洞與脆弱點,并針對自有及合作業務信息系統編寫了整改建議和系統層面的加固方案。通過持續對自有及合作信息系統的檢查,共發現自有業務信息系統存在各類安全漏洞攻擊39處,合作業務信息系統存在各類安全漏洞14處,目前這些漏洞已經全部整改與加固完畢,消除了安全隱患。其次,以信息安全管理為導向,組建了由電信營運商、合作伙伴、專業公司三方共同構成的一支業務信息系統安全管理團隊,通過從合作業務管理規范的建立到合作伙伴安全技能培訓,從信息安全制度宣貫到系統安全處罰辦法的落實執行,從系統安全的定期評估到系統漏洞的及時加固等一系列舉措,最終創建一套業務信息系統全新的安全管理模型,提高業務信息系統運行質量和服務能力,提升創新業務品牌形象。從安全管理模型啟用至今,未發生一起信息安全事故,這樣強化了合作伙伴的信息安全概念,督促合作伙伴在發展業務的同時也重點關注信息安全問題,極大地降低了由于合作系統的信息安全漏洞導致的中病毒或木馬、假冒網站、賬號或密碼被盜、個人信息泄露等客戶信息安全事件的發生概率,此類原因造成創新業務投訴比率和往年相比降低了15%,改變了用戶對創新業務的固有印象,建立了良好的創新業務服務品牌形象。此模型具備良好的可復制性,可指導通信領域運營企業開展信息安全工作。在全國率先打造這套移動互聯網業務安全管理體系,包含一系列業務系統信息安全管理辦法、信息安全策略、安全保障框架、安全保障基線規范等相關業務系統管理制度及規范,業務系統安全管理體系的先進性和時效性在通信行業內名列前茅,同時通過近兩年的安全理論研究和安全評估加固實踐,針對當前企業業務平臺系統在信息安全監管中面臨的一些問題,對當前主流關聯分析技術進行研究的基礎上,提出了一種新的安全事件關聯分析技術。該技術涉及到多源數據預處理、報警聚合、關聯分析、大數據分析和安全狀況態勢評估等相關技術。此技術運用到電信行業的信息安全監管上,就能夠對監控設備收集的日志及安全設備產生的告警進行關聯分析和挖掘,從包含大量冗余信息的數據中提取出盡可能多的隱藏的安全信息,通過對此類信息的統計、濃縮、總結、關聯和分類,抽象出利于進行判斷和比較的特征庫,并智能地學習和維護其特征庫,從而在提高安全事件報警準確率的情況下保證極高的識別效率。同時該安全管理體系成功應用到與百度公司合作開發的愛奇藝視頻業務系統、與騰訊科技公司聯合開發的微信平臺、與奇虎科技公司共同開發的安全衛士手機應用系統,得到部分在美國納斯達克上市的中國互聯網精英公司的高度認可和贊許,并表示今后與電信運營商共同開發產品都依照此安全管理規范和體系,確保產品的各項安全性能指標。
2創新點
為順應移動互聯網時代,運營商從基礎通信運營向流量運營轉型的新趨勢,湖北移動確定了“業務轉型,安全先行”的發展思路,堅持“以安全保發展、以發展促安全”。在已有的網絡與信息安全管理辦法的基礎上,積極開展適應移動互聯網時代安全管理體系建設,不斷推進科學的安全管理方法,做到六“注重”六“突出”,即:(1)注重整體規劃,突出體系建設,促進職責高效履行。制定下發安全標準化管理與評價體系建設計劃,內容涵蓋安全工作方針目標、安全目標、各方職責、安全管理體系和模式、安全設施和機房環境保護設施標準、安全文明操作保證金、安全考核與獎懲、過程的主要控制措施、應急準備和響應等方面。嚴格按計劃有序開展體系建設工作;嚴格按體系文件要求開展業務或系統試運行工作;加強保證與監督體系的建設。(2)注重文化建設,突出信息安全特色,促進習慣養成。以人為本,加強企業安全文化建設,促使安全文化落地,提高員工安全與風險防范意識。(3)注重教育培訓,突出行業特色,達到安全管理效果。通過多種渠道、形式多樣的安全教育和培訓方式,組織各單位安全管理人員開展安全教育和培訓工作:一是安排專家和行業資深人士進行專題講座;二是在專題培訓的基礎上,做好網絡與信息安全專項工作如何開展的培訓。(4)注重設備管理,突出針對特色,實現安全管理精細化。首先,網絡設備較多,加強網絡安全管理提高設備安全可靠性是首要任務,為此各維護單位對每臺設備均建立了安全技術臺帳,臺帳包括運行記錄、檢查保養記錄和定期檢驗記錄。其次,組織精干力量先后兩次對所有設備、流程、機房進行全面的安全評估工作。第三,使隱患排查整改形成機制。(5)注重安全投入,突出專用特色,合理使用安全生產費用。認真落實安全管理費用投入長效機制,加大安全費用的管理,做到專款專用,確保安全生產費用規范化、合理化和足額投入。并加強安全生產保證金的管理,建立安全生產保證金并實行年底考核的機制,有效促進了安全管理工作。(6)注重應急預案,突出超前特色,安全管理贏在主動。在安全管理中,把預防工作落到實處,建立健全了應急處置機構,將應急處置工作進一步制度化,規范化,形成了完整的安全事故預防體系。同時,開展形式多樣、符合實際的應急演練。
3結語
篇5
【關鍵詞】煤礦;信息網絡信息系統;網絡安全
隨著信息技術、網絡技術、自動化技術、視頻技術、傳感器技術等一系列先進技術的快速發展和融合,煤礦企業信息網絡建設也取得了豐碩成果。目前國內大、中型煤礦企業基本上都已經構建和裝備了企業互聯網、工業以太網、監測監控、人員定位、工業控制等信息系統,這些信息系統已經深入到煤礦安全生產的方方面面,而且很多工業系統自動化程度非常的高,比如提升系統、選煤系統等已經實現了無人操作,遠程開停、故障閉鎖等,操作人員只需要對運行的參數進行觀測和記錄,大大提高了人員工作效率、增強了企業的核心競爭力。所以今天煤礦企業信息網安全就顯得尤為重要,本文將就煤礦企業信息網絡安全現狀及重要性進行分析和探究。
1現狀分析
我國中、大型煤礦企業建設和應用了大量的信息系統和工業控制系統,并且這些信息系統已經深入到生產經營的方方面面,促使煤礦企業從傳統的密集型、重體力生產模式向“采掘機械化、生產自動化、管理信息化”模式轉變,有力地提升了煤礦企業管理效率,加速了煤礦的企業轉型升級。但是煤礦企業在信息網絡安全管理方面還存在諸多問題:
1.1企業管理人員對信息網絡安全的重要性認識不足
主要表現在四點,一是沒有建立完善的信息網絡組織體系,相關的制度建立和落實不到位。二是企業大都沒有編制詳實可行的信息網絡安全預案,也沒有進行相關的應急演練;三是信息網絡安全方面的投入比較少,企業安全防護設施不全;四是企業管理人員對于信息網絡安全的知識非常欠缺,只注重信息系統具體應用和預設功能,對于操作可能帶來的網絡威脅沒有防范意識。
1.2信息孤島與信息網絡安全之間的矛盾日益沖突
早期煤礦企業建設的信息系統和工業控制系統都是一個單一的個體,相互獨立,之間沒有任何聯系,隨著信息技術的發展和企業管控一體化進程的不斷推進。“信息孤島”的問題得到了很大程度的解決,但同時產生的信息網絡安全問題也日益突出。“信息孤島”的消除依賴網絡的廣泛應用,而網絡正是信息安全的薄弱環節。消除“信息孤島”勢必使工業控制系統增加大量的對外聯系通道,這使得信息網絡安全面臨更加復雜的環境,安全保障的難度大大增加。
1.3信息安全管理人員信息安全知識和技能不足,主要依靠外部安全服務公司的力量
主要原因有三點:(1)煤礦企業地處偏遠山區、工作環境和生活環境相對都比較差,很難招聘到高科技人才,即是招到人也很難留下來。(2)企業以煤炭生產、加工、銷售為主業,信息技術人才發展空間小、大多數人員都只是從事信息維修工和桌面支持之類的工作。(3)信息安全管理人員長期得不到培訓和學習的機會,信息技術知識的儲備量有限、業務水平處在較低的一個水平,所以只能依靠外部安全服務公司。
1.4信息網絡安全防護設備利用率低,很難發揮應有的功能
煤礦企業在信息網絡建設初期都會做網絡安全方面的布置,比如在網絡邊界架設防火墻、入侵檢測設備,在內部部署殺毒軟件,形成了軟硬件相結合的防御模式,可是很多企業的防火墻和入侵檢測設備從安裝到被替換可能從來都沒有做過配置更新,和漏洞修復、打補丁之類的操作,大多數的員工電腦也從不安裝殺毒軟件,這就做法無形中弱化了我們防御的盾牌和進攻的長矛,使網絡安全防護設備長期處于半“休眠”狀態。
2重要性
“沒有網絡安全就沒有國家安全”,在浙江烏鎮世界互聯網大會上提出的網絡安全觀,足以證明網絡安全對于國家的重要性。那么同樣對于現今充分利用信息網絡和工業控制系統的現代化煤礦企業來說,如果沒有足夠的信息網絡安全也就沒有企業的安全生產。信息技術是一把“雙刃劍”,它改變了企業的生產方式,優化了企業的管理流程,提高了企業管理效率,可是同樣卻又不得不將企業置身于互聯網之中。互聯網是一個“超領土”存在的虛擬空間,存在各種潛在的威脅,比如利用木馬、病毒、遠程攻擊、控制等方式,泄露企業的商業機密、修改控制系統指令、攻陷服務器、盜取個人信息等,這些都有可能對企業造成嚴重安全事故和經濟損失。這些還只是企業內部的損失,很多大、中型煤礦企業為了提升企業管理效率都開通與集團公司之間的專線VPN,承載了很多應用服務包括協同OA、生產調度、銷售等等的數據都要進行通信,如果信息網絡安全受到攻擊癱瘓,都會對企業的生產經營造成影響,更有甚者可能通過煤礦企業本地發起攻擊,致使整個集團的信息網絡受到嚴重威脅,所以煤礦企業管理人員一定要樹立正確的信息網絡安全觀,充分認知信息網絡安全的重要性,加快構建關鍵信息基礎設施安全保障體系,增強企業信息網絡安全的防御能力。
3總結
總之,信息網絡技術發展的今天,信息網絡安全已經是每一個煤礦企業必須面對和正視的問題,也是每一個企業管理者應該積極參與和考慮的問題。古人云“知己知彼百戰不殆”,煤礦企業應該立即行動起來,通過開展關鍵信息基礎設施網絡安全檢查,準確掌握企業關鍵基礎設施的網絡安全狀況,詳細評估企業所面臨的網絡安全威脅,制定對應的防范措施,構建企業信息網絡安全的“防火墻”,為企業安全生產經營、職工娛樂生活營造一個安全、穩定、健康的網絡環境。
參考文獻
[1]陳龍.煤炭企業網絡安全建設與管理探究[J].煤炭技術,2013.
