企業信息安全防護體系精選(五篇)
發布時間:2023-10-12 17:40:25
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇企業信息安全防護體系,期待它們能激發您的靈感。
篇1
信息安全的總需求是邊界安全、網絡安全、主機安全、終端安全、應用安全和數據安全的最終目標,是確保信息機密性、完整性、可用性、可控性和抗抵賴性,以及企業對信息資源的控制[1]。2009年福建公司開展了等級保護工作,結合今年福建公司安全防護體系建設和等保測評成果,證明信息安全防護重點在于管理。現代企業管理實踐也證明,任何工作均是3分技術,7分管理。電網企業信息安全工作也不例外,技術只是最基本的手段,規范、科學的管理才是發展根本的保障[2]。
2.1信息安全防護體系總體框架
在對多種信息安全防護體系進行研究分析后,參照ISO/27001信息安全管理標準,根據國家電網公司電網信息安全等級保護“雙網雙機、分區分域、等級防護、多層防御”原則,提出電網企業的信息安全防護體系框架。電網企業信息安全防護體系建設可從管理和技術層面進行[3]。該體系框架根據規劃設計、開發測試、實施上線、運行維護、系統使用和廢棄下線6個環節的信息系統生命周期特征制定全過程安全管理;從物理、邊界、網絡、主機、終端、應用、數據7個方面制定全方位的技術防護措施。
2.2信息安全防護管理體系設計
電網企業信息安全在信息系統建設、運行、維護、管理的全過程中,任何一個環節的疏漏均有可能給信息系統帶來危害。根據信息系統全生命周期,從規劃設計、開發測試、實施上線、運行維護、系統使用和廢棄下線6個環節,設計覆蓋信息安全管理、運行、監督、使用職責的安全管控流程[3-4]。
2.2.1網絡與信息系統安全管理
網絡與信息系統是企業現代化管理的重點。由于網絡與信息系統的動態性、復雜性和脆弱性,建立健全的信息安全管理體系已成為了保障網絡與信息系統安全的重要手段。網絡與信息系統的安全管理依照國家電網公司制定的《國家電網公司信息網絡運行管理規程(試行)》,遵循信息安全等級保護“雙網雙機、分區分域、等級防護、多層防御”的原則。
2.2.2人員安全管理與崗位職責管理
安全問題的特點為“3分技術、7分管理”,而管理的核心是人,對于人員安全管理與崗位職責管理其主要包含如下管理內容:(1)崗位職責。制定崗位責任書,明確各崗位信息安全責任。(2)持證上崗。安全工作人員持證上崗。(3)保密管理。與員工簽訂保密協議,并定期進行檢查與考核。(4)安全培訓。對員工進行定期安全培訓。(5)離職管理。對離崗離職人員賬號、權限及信息資產進行清理和移交。
2.2.3全過程安全管理
(1)系統規劃設計安全管理的主要內容包括:1)分析和確認系統安全需求。2)確定系統安全保護等級并備案。3)制定安全防護方案并進行評審。(2)系統研發安全管理的主要內容包括:1)制訂研發安全管理機制,確保開發全過程信息安全。2)加強開發環境安全管理,與實際運行環境及辦公環境安全隔離。3)嚴格按照安全防護方案進行安全功能開發并定期進行審查。4)定期對研發單位環境和研發管理流程進行安全督查。(3)系統實施與上線安全管理的主要內容包括:1)嚴格按照設計方案對網絡、主機、數據庫、應用系統等進行安全配置。2)嚴格遵循各項操作規程,避免誤操作。3)組織安全測評機構進行上線環境安全測評。4)及時對系統試運行期間發現的安全隱患進行整改。(4)系統運行維護安全管理的主要內容包括:1)遵循運維安全規程,執行各項運維操作。2)對系統安全運行狀況進行實時監控,及時采取預警和應急處置措施。3)定期進行安全風險評估、等級保護測評與整改。4)建立系統漏洞補丁的安全測試、分發和安裝管理機制。5)根據數據重要性進行數據備份,并定期進行恢復測試。(5)系統使用安全管理的主要內容包括:1)終端準入控制,對各種移動作業、采集、專控等終端進行安全測評。2)終端外聯控制,禁止終端跨網絡接入。3)系統賬號和權限管理,對系統使用人員及其權限進行嚴格管理。4)終端使用管理,防止終端交叉使用、用戶越權訪問等。5)終端數據存儲、處理時的安全保護。6)對移動存儲介質的安全管理。7)終端維修管理,由運維機構統一處理。8)終端下線、報廢時的安全管理,對終端數據進行安全處理。(6)系統廢棄下線安全管理的主要內容包括:1)評估系統下線對其它系統的安全性影響,制定下線方案并進行評審。2)系統下線前對重要數據進行備份和遷移。3)系統下線后對不再使用的數據與存儲介質進行銷毀或安全處理。4)系統下線后及時進行備案。
2.2.4系統測試評估安全機制與評價考核
信息系統建成后必須經過試運行并對系統的安全性、可靠性和應急措施進行全面測試,測試和試運行通過后方可投入正式運行,信息安全風險評估包括資產評估、威脅評估、脆弱性評估、現有安全措施評估、風險計算和分析、風險決策和安全建議等評估內容。安全管理機制的主要內容包括:事件管理、安全督查、等保管理、備案管理,應急管理等。
3信息安全防護體系
電網企業信息安全防護體系的設計[5],主要從物理、邊界、網絡、主機、終端、應用、數據7個方面進行,遵循環境分離、安全分域、網絡隔離、終端準入、補丁加固、數據分級、安全接入、基線配置、應用審計、密鑰應用等技術原則,輔以相應的技術措施實現全面的安全防護[6]。
3.1物理安全
物理環境分為室內物理環境和室外物理環境,根據設備部署安裝位置的不同,選擇相應的防護措施。室內機房物理環境安全需滿足對應信息系統安全等級的等級保護物理安全要求,室外設備物理安全需滿足國家要求。具體安全措施如下:(1)機房分區、門禁等準入控制。(2)設備物理安全需滿足國家對于防盜、電氣、環境、噪音、電磁、機械結構、銘牌、防腐蝕、防火、防雷、電源等要求。(3)機柜/機箱應避免可能造成的人身安全隱患,符合安裝設備的技術需求。(4)機柜/機箱外應設有警告標記,并能進行實時監控,在遭受破壞時能及時通知監控中心。(5)研發場所分離并采取準入控制
3.2邊界安全
邊界安全防護目標是使邊界的內部不受來自外部的攻擊,同時也用于防止惡意的內部人員跨越邊界對外實施攻擊,或外部人員通過開放接口、隱蔽通道進入內部網絡;在發生安全事件前期能夠通過對安全日志及入侵檢測事件的分析發現攻擊企圖,安全事件發生后可以提供入侵事件記錄以進行審計追蹤。
3.3網絡安全
網絡環境安全防護的目標是防范惡意人員通過網絡對網絡設備和業務系統進行攻擊和信息竊取,在安全事件發生前可以通過集中的日志審計、入侵檢測事件分析等手段,以及對信息內外網網絡、終端以及防護設備等安全狀態的感知和監測,實現安全事件的提前預警;在安全事件發生后可以通過集中的事件審計系統及入侵檢測系統進行事件追蹤、事件源定位,及時制定相應的安全策略防止事件再次發生;并能實現事后審計,對惡意行為和操作的追查稽核、探測入侵、重建事件和系統條件,生成問題報告。
3.4主機安全
主機系統安全的目標是采用信息保障技術確保業務數據在進入、離開或駐留服務器時保持可用性、完整性和保密性,采用相應的身份認證、訪問控制等手段阻止未授權訪問,采用主機防火墻、入侵檢測等技術確保主機系統的安全,進行事件日志審核以發現入侵企圖,在安全事件發生后通過對事件日志的分析進行審計追蹤,確認事件對主機的損害程度以進行后續處理。
3.5終端安全
終端安全防護目標是確保智能電網業務系統終端、信息內外網辦公計算機終端以及接入信息內、外網的各種業務終端的安全。目前重點終端類型包括:(1)配電網子站終端。(2)信息內、外網辦公計算機終端。(3)移動作業終端。(4)信息采集類終端。對于各種終端,需要根據具體終端的類型、應用環境以及通信方式等選擇適宜的防護措施。
3.6應用安全
按照國家信息安全等級保護的要求,根據確定的等級,部署身份鑒別及訪問控制、數據加密、應用安全加固、應用安全審計、剩余信息保護、抗抵賴、資源控制、等應用層安全防護措施。
3.7數據安全
對數據的安全防護分為數據的災難恢復、域內數據接口安全防護和域間數據接口安全防護。域內數據接口是指數據交換發生在同一個安全域的內部,由于同一個安全域的不同應用系統之間需要通過網絡共享數據,而設置的數據接口;域間數據接口是指發生在不同的安全域間,由于跨安全域的不同應用系統間需要交換數據而設置的數據接口。
4結束語
篇2
【關鍵詞】電力企業;信息網絡;安全體系
【中圖分類號】TP309【文獻標識碼】A【文章編號】1672-5158(2013)07-0498-02
引言
隨著電力企業不斷發展,信息化已廣泛應用于生產運營管理過程中的各個環節,信息化在為企業帶來高效率的同時,也為企業帶來了安全風險。一方面企業對信息化依賴性越來越強,尤其是生產監控信息系統及電力二次系統直接關系到電力安全生產;另一方面黑客技術發展迅速,今天行之有效的防火墻或隔離裝置也許明天就可能出現漏洞。因此,建設信息安全防護體系建設工作是刻不容緩的。
1 信息安全防護體系的核心思想
電力企業信息安全防護體系的核心思想是“分級、分區、分域”(如圖1所示)。分級是將各系統分別確定安全保護級別實現等級化防護;分區是將信息系統劃分為生產控制大區和管理信息大區兩個相對獨立區進行安全防護;分域是依據系統級別及業務系統類型劃分不同的安全域,實現不同安全域的獨立化、差異化防護。
2 信息安全防護系統建設方針
2.1整體規劃:在全面調研的基礎上,分析信息安全的風險和差距,制訂安全目標、安全策略,形成安全整體架構。
2.2分步實施:制定信息安全防護系統建設計劃,分階段組織項目實施。
2.3分級分區分域:根據信息系統的重要程度,確定該系統的安全等級,省級公司的信息系統分為二級和三級系統;根據生產控制大區和管理信息大區,劃分為控制區(安全I區)、非控制區(安全II區)、管理信息大區(III區);依據業務系統類型進行安全域劃分,二級系統統一成域,三級系統獨立成域。
2.4等級防護:按照國家和電力行業等級保護基本要求,進行安全防護措施設計,合理分配資源,做好重點保護和適度保護。
2.5多層防御:在分域防護的基礎上,將各安全域的信息系統劃分為邊界、網絡、主機、應用、數據層面進行安全防護設計,以實現縱深防御。
2.6持續改進:定期對信息系統進行安全檢測,發現潛在的問題和系統可能的脆弱性并進行修正;檢查防護系統的運行及安全審計日志,通過策略調整及時防患于未然;定期對信息系統進行安全風險評估,修補安全漏洞、改進安全防護體系。
3 信息安全防護體系建設探索
一個有效的信息安全體系是在信息安全管理、信息安全技術、信息安全運行的整體保障下,構建起來并發揮作用的。
3.1 建立信息安全管理體系
安全管理體系是整個信息安全防護體系的基石,它包括安全管理機構、安全管理制度、人員安全管理、系統建設管理、系統運維管理五個方面,信息安全組織機構的建立尤為重要。
3.1.1建立信息安全管理小組
建立具有管理權的信息安全小組,負責整體信息安全管理工作,審批信息安全方針,分配安全管理職責,支持和推動組織內部信息安全工作的實施,對信息安全重大事項進行決策。處置信息安全事件,對安全管理體系進行評審。
3.1.2分配管理者權限
按照管理者的責、權、利一致的原則,對信息管理人員作級別上的限制;根據管理者的角色分配權限,實現特權用戶的權限分離。對工作調動和離職人員及時調整授權,根據管理職責確定使用對象,明確某一設備配置、使用、授權信息的劃分,制訂相應管理制度。
3.1.3職責明確,層層把關
制訂操作規程要根據職責分離和多人負責的原則各負其責,不能超越自己的管轄范圍。系統維護時要經信息管理部門審批,有信息安全管理員在場,對故障原因、維護內容和維護前后情況做詳細記錄。
(1)多人負責制度 每一項與安全有關的活動必須有2人以上在場,簽署工作情況記錄,以證明安全工作已得到保障。
(2)重要崗位定期輪換制度 應建立重要崗位應定期輪換制度,在工作交接期間必須更換口令,重要技術文件或數據必須移交清楚,明確泄密責任。
(3)在信息管理中實行問責制,各信息系統專人專管。
3.1.5系統應急處理
制定信息安全應急響應管理辦法,按照嚴重性和緊急程度及危害影響的大小來確定全事件的等級,采取措施,防止破壞的蔓延與擴展,使危害降到最低,通過對事件或行為的分析結果,查找事件根源,徹底消除安全隱患。
3.2 建立信息安全技術策略
3.2.1物理安全策略
物理安全策略的目的是保護計算機系統、網絡服務器等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;確保計算機系統有一個良好的工作環境;防止非法進入機房和各種偷竊、破壞活動的發生,抑制和防止電磁泄露等采取的安全措施。
3.2.2 網絡安全策略
網絡安全防護措施主要包括以下幾種類型:
(1)防火墻技術。通過防火墻配置,控制內部和外部網絡的訪問策略,結合上網行為管理,監控網絡流量分配,對于重要數據實行加密傳輸或加密處理,使只有擁有密鑰的授權人才能解密獲取信息,保證信息在傳輸過程中的安全。
(2)防病毒技術。根據有關資料統計,對電力信息網絡和二次系統的威脅除了黑客以外,很大程度上是計算機病毒造成的。當今計算機病毒技術發展迅速,對計算機網絡和信息系統造成很大的損害。采用有效的防病毒軟件、惡意代碼防護軟件,保障升級和更新的時效性,是行之有效的措施。
(3)安全檢測系統。通過專用工具,定期查找各種漏洞,監控網絡的運行狀況。在電力二次系統之間安裝IDS入侵檢測軟件等,確保對網絡非法訪問、入侵行為做到及時報警,防止非法入侵。
3.2.3安全策略管理
對建的電力二次系統必須在建設過程中進行安全風險評估,并根據評估結果制定安全策略;對已投運且已建立安全體系的系統定期進行漏洞掃描,以便及時發現系統的安全漏洞;定期分析本系統的安全風險,分析當前黑客非法入侵的特點,及時調整安全策略。
3.2.4 數據庫的安全策略
數據庫的安全策略包括安全管理策略、訪問控制策略和信息控制策略。但數據庫的安全問題最主要的仍是訪問控制策略。就訪問控制策略分類而言,它可以分為以下幾種策略。
(1) 最小特權策略: 是讓用戶可以合法的存取或修改數據庫的前提下,分配最小的特權,使得這些權限恰好可以讓用戶完成自己的工作,其余的權利一律不給。
(2) 數據庫加密策略: 數據加密是保護數據在存儲和傳遞過程中不被竊取或修改的有效手段。
(3)數據庫備份策略:就是保證在數據庫系統出故障時,能夠將數據庫系統還原到正常狀態。
(4)審計追蹤策略:是指系統設置相應的日志記錄,特別是對數據更新、刪除、修改的記錄,以便日后查證。
篇3
關鍵詞:信息安全;體系架構;授權訪問;安全控制;異常監控
1概述
隨著信息化建設的快速發展,信息技術創新影響著人們的工作方式和生活習慣,網絡已成為信息傳播和知識共享的載體,提高了工作效率,促進了社會的發展和進步,但由于網絡環境的復雜性、多變性以及信息系統的脆弱性,決定了信息安全威脅的客觀存在。近年來,國內國外信息安全的事件層出不窮,計算機病毒和木馬仍然是最大的安全威脅,假冒用戶和主機身份進行不法活動或實施攻擊的現象逐漸增多,SQL注入、數據監聽、緩沖區溢出攻擊依然盛行,網絡釣魚和網絡欺詐日益嚴重,敏感數據外泄和盜取事件頻頻發生,信息安全形勢日趨嚴峻。因此,如何建立多層次的信息安全防護體系,如何保證企業信息安全,已成為各企業必須面對的重要問題。
2體系架構總體設計
針對企業中桌面計算機數量龐大、應用系統平臺多樣化、互聯網業務應用急劇增長,不合規計算機接入內網、互聯網違規訪問、系統賬戶盜用等行為無法管控,網絡黑客人侵、病毒木馬感染、信息數據竊取等問題,通過大量的分析調研,確定企業級的信息安全防護體系應采用C/S和B/S相結合的多層架構設計,同時選擇成熟主流的安全產品,統一規劃設計桌面安全管理、身份管理與認證、網絡安全域戈0分等功能系統,規范信息系統安全防護和審計標準,最大程度保證信息資源的可用性和安全性。
2.1桌面安全管理系統設計
桌面計算機是產生和存放重要信息的源頭,但桌面計算機往往是信息安全事件中最薄弱的環節,因此,為切實保證企業信息業務正常開展,保障個人信息數據安全,建立先進實用的桌面安全管理系統十分必要。該系統主要包括安全防范和后臺安全管理兩個模塊。
2.1.1安全防范功能模塊
安全防范功能模塊可對特洛伊木馬、蠕蟲等制定主動檢查和清除的策略,查殺策略應定義為“隔離”;對于惡意商業應用程序,由于這類軟件只是一些廣告類的惡意重新,終止進程就可以解決問題的,安全風險程度不是很高,所以將查殺策略定義為“終止”。該模塊提供入侵防護功能、啟用拒絕服務檢測功能、啟用端口掃描檢測功能,以及自動禁止攻擊者的IP時間限定為600秒,避免出現由于大量攻擊行為而消耗計算機性能和網絡帶寬的情況發生,提高桌面計算機抵御惡意攻擊的能力。
2.1.2后臺管理模塊
區域管理器是后臺管理功能模塊重要組件,通過配置計算機IP范圍、區域管理器參數、設備掃描器參數,可對安裝探頭程序的桌面計算機進行管理。實現桌面計算機配置管理、安全審計及報警管理、電子文檔保護等功能。
2.2身份管理與認證系統設計
當前應用系統已成為企業開展各項日常業務的重要平臺,但由于這些應用系統登錄方式不統一、安全認證模式多樣、部分系統密碼強度不足等情況,嚴重影響企業信息數據的安全性和保密性,因此建立身份管理與認證系統,可以從根本上實現用戶身份認證,保證系統訪問的安全性。身份管理與認證系統由集中身份管理、統一認證和公共密鑰基礎設施三個模塊組成。
2.2.1集中身份管理模塊
集中身份管理模塊通過對用戶身份信息的獲取、映射、同步、核對等方式,對應用系統中的用戶身份信息進行匯總與清理,建立統一的用戶身份視圖,實現用戶實體與用戶身份信息的唯一對應。集中身份管理模塊固化對用戶身份的集中管理流程,包括與用戶身份管理相關的審批與操作流程。在對集中身份管理模塊的功能細化并進行歸類,從而設計出集中身份管理的功能模型,如圖1所示。
2.2.2統一認證模塊
統一認證模塊支持用戶身份的強認證,可對獲取權威的身份鑒別信息進行身份認證,包括用戶口令、用戶數字證書、數字證書撤銷列表等。通過對信息系統一般的身份認證流程進行分析,可以得到統一認證采用的身份信息和鑒別信息都來自于信息系統本身(或分散的目錄服務)。
2.2.3公共密鑰基礎設施模塊
公共密鑰基礎設施系統(PKI)由認證中心(CA)、密鑰管理中心(KMC)和證書注冊中心(RA)等三部分組成。認證中心采用商密SRQ-14數字證書認證產品和商密SJY-63密鑰管理產品,并可提供可信的第三方擔保功能,認證中心支持頒發證書、更新證書、撤銷證書等操作。密鑰管理中心存儲著所有用戶的證書密鑰信息,利用PMI技術保證密鑰信息數據的安全。證書注冊中心可為用戶提供數字證書申請的注冊受理,用戶身份信息的審核,用戶數字證書的申請與下載,用戶數字證書的撤銷與更新等服務。
2.3網絡安全域系統設計
前大部分企業的內部網絡中均包含有非業務性質網絡,且網絡行為不受限,對內部應用系統的安全構成嚴重威脅。為構建安全可靠網絡架構,通過劃分網絡安全域,提高整體網絡的安全性。網絡安全域設計應包括互聯網與企業網之間、企業辦公網與生產網之間、關鍵應用系統與普通應用系統之間等三個層次的安全防護。本著“先邊界安全加固,后深入內部防護”的指導思想,本文僅對互聯網與企業網之間的安全域進行研究和探索,如圖2所示。
2.3.1安全防護模塊
安全防護設備包括邊界防火墻、核心防火墻和入侵檢測設備,主要是通過檢測過濾網絡上的數據包,保證內部網絡的安全。防火墻可以位于兩個或者多個網絡之間,是實施網絡之間訪問控制的一組組件的集合,通過制定安全策略后防火墻能夠限制被保護的內部網絡與外部網絡之間的信息訪問與交換。入侵檢測設備是防火墻的合理補充,一般該設備部署在內部網絡邊界。
2.3.2行為審計模塊
行為審計模塊可以提供網頁過濾技術、應用控制技術、外發信息審計技術等,可有效防止機密信息的外泄,避免不良信息的擴散,提高員工的工作效率,保障網絡資源合理使用,提高網絡可管理性。
2.3.3日志分析模塊
日志分析模塊基于Syslog標準協議,可以對不同設備、主機、應用系統進行日志綜合分析和集中展現;實現對報警信息的靈活配置和管理,同時提供靈活的報警規則配置、實時報警和歷史報警信息的綜合管理;基于設備、報警類別、日期等因素進行組合統計和報表,為管理人員提供直觀的統計信息和報表信息。
3關鍵技術
3.1準入控制技術
建立具有結構化、層次化的準入控制體系,針對計算機違規行為下發阻斷策略,確保接入內網的計算機符合企業信息安全方面的規定。主要方法共有兩種,一種是在互聯網出口處部署端點準人設備,強制所有接人互聯網桌面計算機安裝桌面安全軟件,另一種是使用虛擬隔離技術,制定訪問控制策略,針對不合規的桌面計算機下發阻斷策略,保證內部網絡安全。
3.2主動安全防范技術
主動安全防范技術包括病毒木馬探測和數字證書認證等,病毒木馬探測技術能夠強化桌面計算機實時防護功能,主動攔截病毒木馬,防范日常攻擊和未知安全威脅;數字證書認證技術能夠實現USBkey證書和Pin口令的雙因素認證方式,可以解決賬號權限安全管理問題。
4應用效果
在某企業部署的信息安全防御體系應用效果良好。累計查殺新型網絡病毒木馬560多萬個;強認證登錄100多萬次;抵御外部攻擊600多萬次,阻止訪問木馬釣魚網站5萬余次。
篇4
[關鍵詞]電力企業;電力信息;安全防護
引言
電力企業的信息安全日益重要,人們的關注度增加,相關單位也應該對于信息方面的進行大量的投資,進行技術上的研究及更新,這樣才能提高信息安全的防護功能。筆者整理了一些與信息安全問題有關的問題,希望可以保障信息網絡和數據安全問題。
一、軟件方面建設
1、統一部署防病毒軟件
眾所周知,網絡是病毒傳播的最佳途徑之一。病毒網上都可以隨意下載,可者直接購買等,一旦有人蓄意把網絡病毒傳如系統內部網之中,那么就會造成嚴重的后果,信息有可能會被竊取,或者高備受到破壞。網絡還是一個神奇的快速傳播病毒的設備,只要主機上被病毒感染,那么其它網絡設備也一樣受到病毒的傳染,而且這種速度非常之快,也許只有幾秒鐘的時間,為此,如何進行防毒是非常重要的。首先防毒軟件要及時安裝,運維人員要隨時檢測,同時軟件要隨時升級,設定自動定時掃描,做到隨時監控,這樣才能有效的杜絕的病毒的侵害,對于信息系統的安全性才能更好的進行防護。
2、部署桌面安全管理系統
安全管理中心策略控制是桌面安全管理系統的核心環節,終端安全才能持續操作下去,對于Windows系列操作系統要有一個全新的理解,對于如何進行安全防護也要做到安全措施,這樣才能減少各類風險,下面我們來了解一下安裝桌面終端的主要功能有哪些?(1)系統補丁管理是非常重要的環節,可以自動下載,也可以自動修補漏洞,同時還可以杜絕病毒的侵襲,各類夠交黑客的攻擊等等。(2)安裝安全威脅分析,從而讓計算機可以智能化的進行系統威脅在哪里,從而進行清除,對于電腦的固定配置的軟件也可以進行安全問題的處理,或者給出相應的安全處理辦法。(3)企業可以通過計算機進行資產管理。這種管理處于在線管理模式,不僅可以掃描電腦,配置情況,軟件情況,同時還可以對具體的產品廠家、型號等進行系統的了解,通過不同的分類,從而達到高效的統籌統計數據。
3、移動儲存介質管理系統需要全面處理
隨著科技的發展,各類存儲硬盤開始向高內存發展,不僅體積小,攜帶便捷,而且存儲量大,越是這樣,這樣的存儲硬盤越難管理。雖然特別便利,但是存在的風險也十分大,因為零部件是微小的,所以清掃病毒的過程有些慢,所以在這個時候一旦在外使用,或者使用不當,就會受到木馬等病毒的夠交攻擊,這樣造成的損失是巨大,一旦拿回企業系統中使用,勢必會有泄漏企業信息風險。
二、硬件方面建設
1、安裝入侵檢測設備
網絡的入侵檢測系統設備的安裝,對于管理員隨時觀測網絡安全問題很有幫助,一旦出現問題,就會顯示出來,并且對于用戶使用外網的數量也會有一個具體的數量,并且可以隨時查出網絡接入平臺是否被其它人隨意使用,一旦出現病毒,該系統就可以快速的查出是一部電腦出現了問題,這樣就可以快速的解決病毒問題。
2、配置冗余核心交換機等設備安裝的重要性
冗余核心交換機的安裝,可以有效的解決斷電問題,一旦某一條線路發生情況,那么另一條就可以接續工作,不會影響到企業網絡全面停電現象,這樣也不會對電力企業的發展造成惡劣的影響。重要的設備配置UPS,采用雙電源供電,等等設備都要處理好安全問題,以及設備是否可以正常運行的問題,那么也不會因此停電。主干線路采用雙鏈路,這樣可以有效的預防某一條線路出現故障時,另一條線路就可以及時代替運作,這樣就可以減少電力信息系統斷電的問題。
3、運維人員綜合素質的提升
運維人員不僅是信息的維護者,更是信息系統可以正常運行的維護者,運維人員一定要做好自己的本分工作,一定要肩負起責任的重要性,同時為了更好的與時俱進,運維人員要保持不斷學習新知識的積極態度,只有這樣才能更好的進行本職工作。特別是對信息技術的學習是非常重要的,同時也要與同行多交流,提高技術的見識度,這樣才能為企業信息系統的安全做出應有的貢獻。
三、信息安全管制度的建立與完善
技術是不斷更新變化的過程,再好的技術,如果管理不當,那么也會被各種因素而破壞掉,為此,信息技術一定要做管理。而管理是需要人來做的,那么在進行管理的時候,首先要對技術管理人員做好基本工作常識培訓,并且對于信息安全管理法則有充分的了解。當然,對于管理人員要時刻做好信息安全教育工作,提高安全教育的意識,提高信息安全教育的重要性等各個方面的學習。(1)在企業職工中進行計算機安全意識常識培訓,對于移動硬盤要隨時進行殺毒處理,企業移動硬盤在其它地方使用之后,一定要處理好殺毒清理步驟,手機聯人內網計算機也要時刻注意信息安全問題,同時信息人員要對計算機基本情況進行核實,目的就是為確保終端用戶計算機安全的使用,這樣才能讓網絡信息時代可以用戶安全上網。(2)應在各個部分安排信息員,對工作人員進行專業的培訓,對信息系統進行隨時觀測,以免得出現安全漏洞。(3)制定《信息安全管理規定》,與信息安全相關的各項制度,并以此為標準進行公司員工的考核評估標準,一旦違反以上的規定,必須要按標準進行嚴格的處罰,這樣才能使得管理行之有效。
四、結束語
電力企業需要在信息安全的基礎之下才能長治久安,正是因為如此,信息安全日益受到關注,不僅投入了大量的資金進行技術更新,還投入了大量的人力物力,希望可以讓電力事業可以在更安全的基礎之下發展,不僅如此,電力企業的各層領導不僅要從思想上提高安全意識,在行動上也要全面跟進。只有信息安全體系得以保障才能更好的失去電力企業的全面發展。
參考文獻
[1]為創建一流的股份制供電企業而努力奮斗[J].農電管理,2013(01)
篇5
[關鍵詞]信息安全;管理;控制;構建
中圖分類號:X922;F272 文獻標識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業信息安全的現狀
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2 企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1 建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善。基本企業信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2 提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3 及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3 企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1 實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2 建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3 優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4 實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4 結束語
信息安全的主要內容就是保護企業的數字化成果的安全和完整。企業在實施信息安全防護過程中是一個長期的持續的工作。我們需要在前期做好詳盡的安全防護規劃,實施過程中根據不斷出現的情況及時調整安全策略和訪問控制,保證備份數據的安全性可靠性。同時全體企業員工一起遵守企業制定的信息安全防護管理規定,這樣才能為企業的信息安全提供生命力和主動性,真正為企業的核心業務提供安全保障。
參考文獻
[1] 段永紅.如何構建企業信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業信息安全體系構建[J].科技與企業,2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業信息安全立體防護體系構建及運行[J].現代電子技術,2014,12:42-45+48.
[4] 劉小發,李良,嚴海濤.基于企業網絡的信息安全體系構建策略探討[J]. 郵電設計技術,2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業信息系統安全體系建設[J].管理觀察,2014,27:81-83.
