時(shí)間:2023-11-06 10:11:17
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇企業(yè)信息安全建設(shè),希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
關(guān)鍵詞:信息安全;管理體系;PKI/CA;MPLS VPN;基線
在供電企業(yè)現(xiàn)代信息技術(shù)廣泛運(yùn)用生產(chǎn)經(jīng)營、綜合管理之中,實(shí)現(xiàn)資源和信息共享,為領(lǐng)導(dǎo)提供相關(guān)輔助決策。保障企業(yè)信息安全是企業(yè)領(lǐng)導(dǎo)層、專業(yè)人員及企業(yè)全員共同面對的。信息安全是集管理、人員、設(shè)備、技術(shù)為一體系統(tǒng)工程,木桶原理可以很好地詮釋信息安全,一個(gè)企業(yè)安全不取決于最強(qiáng)項(xiàng),而取決最短板。信息安全需從制度建設(shè)、體系架構(gòu)、一體化防控體系、人員意識、專業(yè)人員技術(shù)水平等多方面共同建設(shè),才能有效提高企業(yè)信息安全,才能為企業(yè)生產(chǎn)、經(jīng)營保駕護(hù)航。
1基層供電信息安全現(xiàn)狀
基層供電企業(yè)信息安全建設(shè)方面,在制度建設(shè)、安全分區(qū)、網(wǎng)絡(luò)架構(gòu)、一體化防護(hù)、人員意識、專業(yè)人員技術(shù)水平等多方面存在不同程度問題。
1.1管理制度不健全,制度多重化
信息安全制度建設(shè)方面較為被動(dòng),大多數(shù)都是現(xiàn)實(shí)之中出現(xiàn)某一問題,然后一個(gè)相關(guān)制度,制度修修補(bǔ)補(bǔ)。同一類問題有時(shí)出現(xiàn)不同管理規(guī)定里,處理辦法不一,甚至發(fā)生沖突。原有信息安全管理制度寬泛,操作性較差。信息系統(tǒng)建設(shè)渠道不同,未提前進(jìn)行信息安全方面考慮,管理職責(zé)不明,導(dǎo)致部分信息安全工作開始不順暢。
1.2安全區(qū)域劃分不明,網(wǎng)絡(luò)架構(gòu)不清晰
基層供電企業(yè)系統(tǒng)建設(shè)主要由上級推廣系統(tǒng)和自建系統(tǒng),系統(tǒng)建設(shè)時(shí)候相當(dāng)部分系統(tǒng)未充分考慮系統(tǒng),特別是業(yè)務(wù)部門自建系統(tǒng)更甚。網(wǎng)絡(luò)建設(shè)需要什么就連接什么,存在服務(wù)器、終端、外聯(lián)區(qū)域不明顯,網(wǎng)絡(luò)架構(gòu)不清晰。
1.3未建立一體化安全防護(hù)體系
從近些年已經(jīng)發(fā)生的各類信息安全事件來看,內(nèi)部客戶端問題造成超過將近70%。內(nèi)部終端用戶網(wǎng)絡(luò)行為控制不足,存在網(wǎng)絡(luò)帶寬濫用;終端接入沒有相應(yīng)準(zhǔn)入控制,不滿足網(wǎng)絡(luò)安全需求用戶接入辦公網(wǎng)絡(luò),網(wǎng)絡(luò)環(huán)境安全構(gòu)成極大風(fēng)險(xiǎn);內(nèi)部人員對核心服務(wù)器和網(wǎng)絡(luò)設(shè)備未建立統(tǒng)一內(nèi)部控制機(jī)制;移動(dòng)介質(zhì)未實(shí)施注冊制管理等問題。
1.4未建立行之有效設(shè)備基線標(biāo)準(zhǔn)
網(wǎng)絡(luò)安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等廠家為了某種方便需求,在設(shè)備和系統(tǒng)中常常保留有默認(rèn)缺省安全配置項(xiàng),這些恰恰是別人利用漏洞。基層供電企業(yè)在部署設(shè)備和系統(tǒng)時(shí),沒有統(tǒng)一基線標(biāo)準(zhǔn),沒有對設(shè)備和系統(tǒng)進(jìn)行相應(yīng)基線加固,企業(yè)存在潛在風(fēng)險(xiǎn)。
1.5信息安全意識較差,技術(shù)水平參差不齊
企業(yè)信息安全認(rèn)識存在認(rèn)識上誤區(qū),常常認(rèn)為我們有較強(qiáng)信息安全保護(hù)設(shè)備,外部不易攻破內(nèi)部,事實(shí)上堡壘常常是從內(nèi)部攻破的。比如企業(yè)員工弱口令、甚至空口令、共用相同密碼、木馬、病毒、企業(yè)機(jī)密泄露等,這恰恰是基層供電企業(yè)全員信息安全意識較為薄弱表現(xiàn)。專業(yè)技術(shù)人員缺乏必要自我學(xué)習(xí)和知識主動(dòng)更新,未取得專門信息安全專業(yè)人員資質(zhì),處理問題能力表現(xiàn)參差不齊。
2必要性
信息安全為國家安全重要組成部門,電力企業(yè)信息安全為國家信息安全的重要元素,電網(wǎng)安全事關(guān)國計(jì)民生。2014年2月,國家成立中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組,將網(wǎng)絡(luò)信息安全提升前所未有高度。近年發(fā)生的“棱鏡門”事件,前幾年發(fā)生伊朗核電站“震網(wǎng)”病毒(Stuxnet病毒)網(wǎng)絡(luò)攻擊,其中一個(gè)關(guān)鍵問題就是利用移動(dòng)介質(zhì)擺渡來進(jìn)行攻擊,造成設(shè)備癱瘓,這一系列信息安全事件都事關(guān)國家安全,因此人人都要有信息安全意識。首先要防止企業(yè)機(jī)密數(shù)據(jù)(財(cái)務(wù)、人資、投資、客戶等)泄漏;其次,保持?jǐn)?shù)據(jù)真實(shí)性和完整性,錯(cuò)誤的或被篡改的不當(dāng)信息可能會導(dǎo)致錯(cuò)誤的決策或商業(yè)機(jī)會甚至信譽(yù)的喪失;最后,信息的可用性,防止由于人員、流程和技術(shù)服務(wù)的中斷而影響業(yè)務(wù)的正常運(yùn)作,業(yè)務(wù)賴以生存的關(guān)鍵系統(tǒng)如失效,不能得到及時(shí)有效恢復(fù),會造成重大損失。建立嚴(yán)格的訪問控制,前面數(shù)據(jù)分級時(shí)有制定數(shù)據(jù)的“所有者”及給敏感數(shù)據(jù)進(jìn)行分級,按照分級的要求制定嚴(yán)格的訪問控制策略,基本的思想是最小特權(quán)原則和權(quán)限分離原則。最少特權(quán)是給定使用者最低的只需完成其工作任務(wù)的權(quán)限;權(quán)限分離原則是將不同的工作職能分開,只給相關(guān)職能有必要讓其知道的內(nèi)容訪問權(quán)限。通過對內(nèi)部網(wǎng)絡(luò)行為的監(jiān)控可以規(guī)范內(nèi)部的上網(wǎng)行為,提高工作效率,保護(hù)企業(yè)有限網(wǎng)絡(luò)資源應(yīng)用于主要生產(chǎn)經(jīng)營上來。
3特點(diǎn)探析
通過我們對基層供電企業(yè)在信息安全存在問題及必要性來看,主要是管理制度、網(wǎng)絡(luò)信息安全技術(shù)、人員意識等方面存在問題,有以下特點(diǎn)。
3.1管理制度方面
常說信息安全“三方技術(shù)、七分管理”,制度建設(shè)對信息安全保障至關(guān)重要。信息安全管理制度應(yīng)該有上級主管部門建立一套統(tǒng)一管理制度,基層供電企業(yè)遵照執(zhí)行,可以根據(jù)各單位具體情況進(jìn)一步細(xì)化,讓管理制度落地。從企業(yè)總體信息安全方針到具體專業(yè)制度管理上,實(shí)現(xiàn)全網(wǎng)一體化,規(guī)范化。
3.2網(wǎng)絡(luò)信息安全技術(shù)方面
上級專業(yè)主管部門,站在企業(yè)高度,制定專業(yè)技術(shù)標(biāo)準(zhǔn)和技術(shù)細(xì)則。從網(wǎng)絡(luò)安全分區(qū)、網(wǎng)絡(luò)技術(shù)架構(gòu)、互聯(lián)網(wǎng)接入和訪問方式、終端安全管理、網(wǎng)絡(luò)準(zhǔn)入控制等方面統(tǒng)一規(guī)劃,分布實(shí)施,最終實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全防控一體化。
3.3信息安全意識培養(yǎng)方面
企業(yè)員工信息安全意識培養(yǎng)是個(gè)長期的過程,不是通過一次兩次培訓(xùn)就能解決的,采取形式多樣化方式來培養(yǎng)員工安全意識,可以通過集中培訓(xùn)講課、視頻宣傳、張貼宣傳畫等方式進(jìn)行。針對專業(yè)人員,要讓他們養(yǎng)成按照制度辦事習(xí)慣,用戶需要申請某項(xiàng)資源,嚴(yán)格按照制度執(zhí)行,填寫相應(yīng)資源申請,有時(shí)候領(lǐng)導(dǎo)打招呼也要按照制度流程來執(zhí)行。長此以往,人人都會知道自己該做什么,不該做什么,該怎么做,企業(yè)信息安全意識就會得到極大提高。
3.4專業(yè)技術(shù)人員水平方面
信息安全技術(shù)日新月異,不學(xué)習(xí)就落后,不斷收集信息安全方面信息,共同討論相關(guān)話題,建立相應(yīng)培訓(xùn)機(jī)制,專業(yè)人員實(shí)行持證上崗,提升專業(yè)人員實(shí)際解決問題能力,有效提高人員專業(yè)素養(yǎng),成為企業(yè)信息安全方面專家。
4實(shí)施和開展
從2009年開始,先后進(jìn)行一系列信息安全建設(shè),涉及到信息安全制度建設(shè)、網(wǎng)絡(luò)信息安全體系架構(gòu)、信息安全保障服務(wù)、人員培訓(xùn)等方面,整體提高基層供電企業(yè)信息安全狀況。
4.1信息安全制度建設(shè)
2010年開始信息安全體系ISO27001、27002建設(shè),結(jié)合企業(yè)情況,形成30個(gè)信息安全相關(guān)文件,涵蓋企業(yè)信息安全方針、等級保護(hù)、人員管理、機(jī)房管理、網(wǎng)絡(luò)信息系統(tǒng)運(yùn)行維護(hù)管理、終端安全、病毒防護(hù)、介質(zhì)管理、數(shù)據(jù)管理、日志管理、教育培訓(xùn)等諸多方面。2013年為進(jìn)一步提示公司信息化管理水平,先后增加修改建設(shè)管理、實(shí)用化管理、項(xiàng)目管理、信息安全管理、運(yùn)維管理、綜合管理5個(gè)方面14個(gè)管理細(xì)則。經(jīng)過這一系列制度建設(shè),基層供電企業(yè)有章可循,全網(wǎng)信息安全依據(jù)統(tǒng)一,明確短板情況。
4.2建設(shè)一體化網(wǎng)絡(luò)與信息安全防控
首先依據(jù)電監(jiān)會5號文件要求,網(wǎng)絡(luò)架構(gòu)按照三層四區(qū)原則進(jìn)行部署建設(shè),生產(chǎn)實(shí)時(shí)控制大區(qū)(Ⅰ、Ⅱ區(qū))與信息管理大區(qū)(Ⅲ、Ⅳ區(qū))之間采用國家強(qiáng)制認(rèn)證單向數(shù)據(jù)隔離裝置進(jìn)行強(qiáng)制隔離,網(wǎng)絡(luò)架構(gòu)采用核心、匯聚、接入部署。網(wǎng)絡(luò)接入按照功能劃分服務(wù)器區(qū)、網(wǎng)管區(qū)、核心交換區(qū)、用戶辦公區(qū)、外聯(lián)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū),在綜合數(shù)據(jù)網(wǎng)上,利用MPLSVPN,根據(jù)劃分不同VPN業(yè)務(wù)、隔離相互間數(shù)據(jù)交叉。建立全網(wǎng)PKI/CA系統(tǒng),構(gòu)建企業(yè)員工在企業(yè)數(shù)字身份認(rèn)證系統(tǒng),已建成系統(tǒng)進(jìn)行未采用PKI登陸系統(tǒng),進(jìn)行相應(yīng)改造結(jié)合PKI/CA系統(tǒng),采用PKI登陸,在建系統(tǒng)用戶登陸必須集成PKI登陸。根據(jù)企業(yè)信息安全要求,進(jìn)行互聯(lián)網(wǎng)統(tǒng)一出口,部署統(tǒng)一互聯(lián)網(wǎng)防控設(shè)備,建立統(tǒng)一上網(wǎng)行為管理策略,規(guī)范員工上網(wǎng)行為,合理使用有限互聯(lián)網(wǎng)資源,審計(jì)員工上網(wǎng)日志,以備不時(shí)之需。建立企業(yè)統(tǒng)一病毒防護(hù)系統(tǒng),實(shí)現(xiàn)病毒軟件統(tǒng)一安裝,病毒庫自動(dòng)更新,防護(hù)策略統(tǒng)一下發(fā),定期統(tǒng)計(jì)病毒分布情況,同時(shí)作為終端接入內(nèi)網(wǎng)必備選項(xiàng),對終端病毒態(tài)勢比較嚴(yán)重用戶進(jìn)行督促整改,有效防止病毒在企業(yè)內(nèi)部蔓延,進(jìn)一步進(jìn)化內(nèi)網(wǎng)環(huán)境。建立統(tǒng)一網(wǎng)絡(luò)邊界安全防護(hù),在企業(yè)內(nèi)網(wǎng)邊界合理部署防火墻、IPS、UTM,并將其產(chǎn)生日志發(fā)送到統(tǒng)一安全管理平臺,進(jìn)行日志管理分析,展現(xiàn)企業(yè)內(nèi)部信息安全態(tài)勢,預(yù)警企業(yè)內(nèi)部信息安全存在問題。利用AD域或PKI/CA進(jìn)行用戶身份認(rèn)證,建設(shè)統(tǒng)一桌面管理,所有內(nèi)網(wǎng)用戶必須滿足最基本防病毒、安全助手、IT監(jiān)控要求方可接入內(nèi)網(wǎng),系統(tǒng)啟用強(qiáng)制安全策略,終端采用采用DHCP,用戶不能自動(dòng)修改IP地址,在DHCP服務(wù)器上實(shí)現(xiàn)IP與MAC地址及人員綁定,杜絕用戶私自更換IP地址引起沖突。安全認(rèn)證方面可以采用NACC或交換機(jī)802.1x方式進(jìn)行,不滿足要求用戶,自動(dòng)重定向到指定網(wǎng)站進(jìn)行安全合規(guī)性檢查,滿足要求后自動(dòng)接入內(nèi)網(wǎng),強(qiáng)制所有用戶采用統(tǒng)一網(wǎng)絡(luò)安全準(zhǔn)入規(guī)則。實(shí)行移動(dòng)介質(zhì)注冊制,極大提高終端安全性,有效保護(hù)企業(yè)信息資產(chǎn)。建立內(nèi)部運(yùn)維控制機(jī)制,實(shí)現(xiàn)4A統(tǒng)一安全管理,認(rèn)證、賬號、授權(quán)、審計(jì)集中管控。規(guī)劃統(tǒng)一服務(wù)器、網(wǎng)絡(luò)設(shè)備資源池,按照用戶需求,提交相應(yīng)申請材料,授權(quán)訪問特定設(shè)備和資源,并對用戶訪問行為全程記錄審計(jì)。
5結(jié)語
[關(guān)鍵詞]信息安全;管理;控制;構(gòu)建
中圖分類號:X922;F272 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-914X(2015)42-0081-01
1 企業(yè)信息安全的現(xiàn)狀
隨著企業(yè)信息化水平的提升,大多數(shù)企業(yè)在信息安全建設(shè)上逐步添加了上網(wǎng)行為管理、內(nèi)網(wǎng)安全管理等新的安全設(shè)備,但信息安全防護(hù)理念還停留在防的階段,信息安全策略都是在安全事件發(fā)生后再補(bǔ)救,導(dǎo)致了企業(yè)信息防范的主動(dòng)性和意識不高,信息安全防護(hù)水平已經(jīng)越來越不適應(yīng)當(dāng)今企業(yè)IT運(yùn)維環(huán)境和企業(yè)發(fā)展的需求。
2 企業(yè)信息系統(tǒng)安全防護(hù)的構(gòu)建原則
企業(yè)信息化安全建設(shè)的目標(biāo)是在保障企業(yè)數(shù)字化成果的安全性和可靠性。在構(gòu)建企業(yè)信息安全體系時(shí)應(yīng)該遵循以下幾個(gè)原則:
2.1 建立企業(yè)完善的信息化安全管理體系
企業(yè)信息安全管理體系首先要建立完善的組織架構(gòu)、制定信息安全管理規(guī)范,來保障信息安全制度的落實(shí)以及企業(yè)信息化安全體系的不斷完善。基本企業(yè)信息安全管理過程包括:分析企業(yè)數(shù)字化資產(chǎn)評估和風(fēng)險(xiǎn)分析、規(guī)劃信息系統(tǒng)動(dòng)態(tài)安全模型、建立可靠嚴(yán)謹(jǐn)?shù)膱?zhí)行策略、選用安全可靠的的防護(hù)產(chǎn)品等。
2.2 提高企業(yè)員工自身的信息安全防范意識
在企業(yè)信息化系統(tǒng)安全管理中,防護(hù)設(shè)備和防護(hù)策略只是其中的一部分,企業(yè)員工的行為也是維護(hù)企業(yè)數(shù)字化成果不可忽略的組成。所以企業(yè)在實(shí)施信息化安全管理時(shí),絕對不能忽視對人的行為規(guī)范和績效管理。在企業(yè)實(shí)施企業(yè)信息安全前,應(yīng)制定企業(yè)員工信息安全行為規(guī)范,有效地實(shí)現(xiàn)企業(yè)信息系統(tǒng)和數(shù)字化成果的安全、可靠、穩(wěn)定運(yùn)行,保證企業(yè)信息安全。其次階段遞進(jìn)的培訓(xùn)信息安全人才也是保障企業(yè)數(shù)字化成果的重要措施。企業(yè)對員工進(jìn)行逐次的安全培訓(xùn),強(qiáng)化企業(yè)員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個(gè)企業(yè)信息安全的防范要求。
2.3 及時(shí)優(yōu)化更新企業(yè)信息安全防護(hù)技術(shù)
當(dāng)企業(yè)對自身信息安全做出了一套整體完善的防護(hù)規(guī)劃時(shí),就應(yīng)當(dāng)考慮采用何種安全防護(hù)技術(shù)來支撐整個(gè)信息安全防護(hù)體系。對于安全防護(hù)技術(shù)來說可以分為身份識別、網(wǎng)絡(luò)隔離、網(wǎng)絡(luò)安全掃描、實(shí)時(shí)監(jiān)控與入侵發(fā)現(xiàn)、安全備份恢復(fù)等。比如身份識別的目的在于防止非企業(yè)人員訪問企業(yè)資源,并且可以根據(jù)員工級別分配人員訪問權(quán)限,達(dá)到企業(yè)敏感信息的安全保障。
3 企業(yè)信息安全體系部署的建議
根據(jù)企業(yè)信息安全建設(shè)架構(gòu),在滿足終端安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全等安全防護(hù)體系時(shí),我們需要重點(diǎn)關(guān)注以下幾個(gè)方面:
3.1 實(shí)施終端安全,規(guī)范終端用戶行為
在企業(yè)信息安全事件中,數(shù)字化成果泄漏是屬于危害最為嚴(yán)重的一種行為。企業(yè)信息安全體系建立前,企業(yè)員工對自己的個(gè)人行為不規(guī)范,造成了員工可以通過很多方式實(shí)現(xiàn)信息外漏。比如通過U盤等存儲介質(zhì)拷貝或者通過聊天軟件傳遞企業(yè)的核心數(shù)字化成果。對于這類高危的行為,我們在建設(shè)安全防護(hù)體系時(shí),僅僅靠上網(wǎng)行為管理控制是不能完全杜絕的。應(yīng)該當(dāng)用戶接入企業(yè)信息化平臺前,就對用戶的終端系統(tǒng)進(jìn)行安全規(guī)范檢查,符合企業(yè)制定的終端安全要求后再接入企業(yè)內(nèi)網(wǎng)。同時(shí)配合上網(wǎng)行為管理的策略對員工的上網(wǎng)行為進(jìn)行審計(jì),使得企業(yè)員工的操作行為符合企業(yè)制定的上網(wǎng)行為規(guī)范,從終端用戶提升企業(yè)的防護(hù)水平。
3.2 建設(shè)安全完善的VPN接入平臺
企業(yè)在信息化建設(shè)中,考慮總部和分支機(jī)構(gòu)的信息化需要,必然會采用VPN方式來解決企業(yè)的需求。不論是采用SSL VPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機(jī)構(gòu)可以考慮專用的VPN設(shè)備和總部進(jìn)行IPSec連接,這種方式更安全可靠穩(wěn)定。對于移動(dòng)終端的接入可以考慮SSL VPN方式。在這種情況下,就必須做好對于移動(dòng)終端的身份認(rèn)證識別。其實(shí)我們在設(shè)備采購時(shí),可以要求設(shè)備商做好多種接入方式的需求,并且?guī)椭髽I(yè)搭建認(rèn)證方式。這將有利于企業(yè)日常維護(hù),提升企業(yè)信息系統(tǒng)的VPN接入水平。
3.3 優(yōu)化企業(yè)網(wǎng)絡(luò)的隔離性和控制性
在規(guī)劃企業(yè)網(wǎng)絡(luò)安全邊際時(shí),要面對多個(gè)部門和分支結(jié)構(gòu),合理的規(guī)劃安全網(wǎng)絡(luò)邊際將是關(guān)鍵。企業(yè)的網(wǎng)絡(luò)體系可以分為:物理層;數(shù)據(jù)鏈路層;網(wǎng)絡(luò)層;傳輸層;會話層;表示層;應(yīng)用層。各體系之間的相互隔離和訪問策略是防止企業(yè)信息安全風(fēng)險(xiǎn)的重要環(huán)節(jié)。在企業(yè)多樣化網(wǎng)絡(luò)環(huán)境的背景下,根據(jù)企業(yè)安全優(yōu)先級及面臨的風(fēng)險(xiǎn)程度,做出適合企業(yè)信息安全的防護(hù)策略和訪問控制策略。根據(jù)相應(yīng)防護(hù)設(shè)備進(jìn)行深層次的安全防護(hù),真正實(shí)現(xiàn)OSI的L2~L7層的安全防護(hù)。
3.4 實(shí)現(xiàn)企業(yè)信息安全防護(hù)體系的統(tǒng)一管理
為企業(yè)信息安全構(gòu)建統(tǒng)一的安全防護(hù)體系,重要的優(yōu)勢就是能實(shí)現(xiàn)對全網(wǎng)安全設(shè)備及安全事件的統(tǒng)一管理,做到對整個(gè)網(wǎng)絡(luò)安全事件的“可視、可控和可管”。企業(yè)采購的各種安全設(shè)備工作時(shí)會產(chǎn)生大量的安全日志,如果單靠相關(guān)人員的識別日志既費(fèi)時(shí)效率又低。而且不同安全廠商的日志報(bào)表還存在很大差異。所以當(dāng)安全事件發(fā)生時(shí),企業(yè)管理員很難實(shí)現(xiàn)對信息安全的統(tǒng)一分析和管理。所以在企業(yè)在構(gòu)建信息安全體系時(shí),就必須要考慮安全設(shè)備日志之間的統(tǒng)一化,設(shè)定相應(yīng)的訪問控制和安全策略實(shí)現(xiàn)日志的歸類分析。這樣才能做到對全網(wǎng)安全事件的“可視、可控和可管”。
4 結(jié)束語
信息安全的主要內(nèi)容就是保護(hù)企業(yè)的數(shù)字化成果的安全和完整。企業(yè)在實(shí)施信息安全防護(hù)過程中是一個(gè)長期的持續(xù)的工作。我們需要在前期做好詳盡的安全防護(hù)規(guī)劃,實(shí)施過程中根據(jù)不斷出現(xiàn)的情況及時(shí)調(diào)整安全策略和訪問控制,保證備份數(shù)據(jù)的安全性可靠性。同時(shí)全體企業(yè)員工一起遵守企業(yè)制定的信息安全防護(hù)管理規(guī)定,這樣才能為企業(yè)的信息安全提供生命力和主動(dòng)性,真正為企業(yè)的核心業(yè)務(wù)提供安全保障。
參考文獻(xiàn)
[1] 段永紅.如何構(gòu)建企業(yè)信息安全體系[J]. 科技視界,2012,16:179-180.
[2] 于雷.企業(yè)信息安全體系構(gòu)建[J].科技與企業(yè),2011,08:69.
[3] 彭佩,張婕,李紅梅. 企業(yè)信息安全立體防護(hù)體系構(gòu)建及運(yùn)行[J].現(xiàn)代電子技術(shù),2014,12:42-45+48.
[4] 劉小發(fā),李良,嚴(yán)海濤.基于企業(yè)網(wǎng)絡(luò)的信息安全體系構(gòu)建策略探討[J]. 郵電設(shè)計(jì)技術(shù),2013,12:25-28.
[5] 白雪祺,張銳鋒. 淺析企業(yè)信息系統(tǒng)安全體系建設(shè)[J].管理觀察,2014,27:81-83.
1企業(yè)信息安全相關(guān)概述
1.1信息安全的含義
迄今為止,對信息安全依然沒有一個(gè)統(tǒng)一和公認(rèn)的定義。但是從國內(nèi)外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術(shù)系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面,但是信息系統(tǒng)和網(wǎng)絡(luò)的影響決定了信息安全是一個(gè)動(dòng)態(tài)的改變,其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。
1.2信息安全在企業(yè)中發(fā)揮的重要作用
企業(yè)信息作為企業(yè)的寶貴資源,保證企業(yè)信息的安全性對企業(yè)的生存和發(fā)展具有重要作用,主要體現(xiàn)在以下3個(gè)方面:一是企業(yè)信息安全是保障企業(yè)正常運(yùn)行的基本前提。在網(wǎng)絡(luò)時(shí)代背景下,企業(yè)信息安全的內(nèi)容更廣泛,再加上現(xiàn)代企業(yè)制度的不斷建立和完善,越來越多的企業(yè)依靠信息數(shù)據(jù)庫開展各項(xiàng)工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場競爭力的必備條件。隨著市場經(jīng)濟(jì)的不斷完善,企業(yè)面臨的競爭也越來越激烈,在這種形勢下,企業(yè)要想獲取市場競爭優(yōu)勢就需要依靠信息安全來實(shí)現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分,而企業(yè)實(shí)施各項(xiàng)戰(zhàn)略主要是通過自身的經(jīng)營活動(dòng)、財(cái)務(wù)信息等開展的,這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實(shí)施方法以及下一步計(jì)劃詳細(xì)地反應(yīng)出來,因此,如果企業(yè)的信息安全無法得到保障,那么企業(yè)要實(shí)施各項(xiàng)戰(zhàn)略難度也很大。
2網(wǎng)絡(luò)時(shí)代下企業(yè)信息安全風(fēng)險(xiǎn)分析
2.1缺乏高度的信息安全風(fēng)險(xiǎn)意識
在網(wǎng)絡(luò)時(shí)代的浪潮下,很多企業(yè)都在逐步加強(qiáng)自身信息安全的建設(shè),通過加大資金投入、創(chuàng)新技術(shù)等措施來保障自身的信息安全,然而,對信息風(fēng)險(xiǎn)的控制并非僅僅依靠技術(shù)就可以實(shí)現(xiàn),更重要的是人們要樹立起信息安全的風(fēng)險(xiǎn)意識。但是從當(dāng)前來看,還有很大一部分企業(yè)的領(lǐng)導(dǎo)者、管理者、員工缺乏對信息安全風(fēng)險(xiǎn)的高度重視,主要表現(xiàn)在:個(gè)別人甚至片面地認(rèn)為信息安全僅僅是網(wǎng)絡(luò)部門的責(zé)任,跟自身沒有多大關(guān)系;二是有個(gè)別企業(yè)領(lǐng)導(dǎo)者認(rèn)為對信息安全的宣傳過度夸張,遭受網(wǎng)絡(luò)攻擊的概率小,一般不會發(fā)生在自己身上;三是個(gè)別企業(yè)沒有建立信息安全風(fēng)險(xiǎn)管理體系,再加上企業(yè)缺乏具體的故障系統(tǒng),導(dǎo)致企業(yè)信息安全遭到風(fēng)險(xiǎn)時(shí),員工往往手足無措,雖說有些企業(yè)針對自身的信息安全制定了一系列規(guī)章和制度,但是由于缺乏針對性和操作性,導(dǎo)致這些制度無法得到真正落實(shí)。
2.2應(yīng)用系統(tǒng)的安全性不高
企業(yè)要實(shí)現(xiàn)信息化建設(shè)的目的,少不了各種應(yīng)用系統(tǒng)作支撐,但是從實(shí)際情況來看,很多企業(yè)還存在著應(yīng)用系統(tǒng)的安全性不高等問題,進(jìn)而導(dǎo)致企業(yè)在數(shù)據(jù)傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實(shí)現(xiàn)非法訪問,進(jìn)而引發(fā)企業(yè)信息丟失或者泄露等安全風(fēng)險(xiǎn)。另外,很多企業(yè)應(yīng)用系統(tǒng)的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進(jìn)行認(rèn)證,無法實(shí)現(xiàn)對信息安全全方位的防范。另外,企業(yè)設(shè)置的密碼過于簡單、操作不規(guī)范等等都會增加應(yīng)用系統(tǒng)安全的風(fēng)險(xiǎn)。
2.3技術(shù)設(shè)備和設(shè)施的作用發(fā)揮不足
個(gè)別企業(yè)為了防范信息安全風(fēng)險(xiǎn),針對一些重要信息設(shè)置了安全設(shè)備,但是由于操作條件和參數(shù)設(shè)施不夠合理,無法將這些設(shè)備的作用充分發(fā)揮出來。還有很多企業(yè)沒有通過建立工作日志來對安全設(shè)備、設(shè)施的運(yùn)行情況進(jìn)行監(jiān)控,進(jìn)而不能根據(jù)企業(yè)的經(jīng)營情況對信息安全進(jìn)行風(fēng)險(xiǎn)控制,更無法采取有效措施保障企業(yè)風(fēng)險(xiǎn)管理。
3網(wǎng)絡(luò)時(shí)代下控制企業(yè)信息安全風(fēng)險(xiǎn)途徑分析
3.1加強(qiáng)信息安全教育,提高信息安全風(fēng)險(xiǎn)意識
由于在企業(yè)信息安全控制中,提高員工的信息安全意識是保證企業(yè)信息安全的決定性因素,因此,企業(yè)應(yīng)該加強(qiáng)對員工的信息安全教育,幫助員工樹立起信息安全風(fēng)險(xiǎn)意識,例如:企業(yè)可以利用一些重大節(jié)日開展關(guān)于信息安全的演講比賽、征文比賽,也可以通過建立適當(dāng)?shù)募?lì)制度以及開展培訓(xùn)活動(dòng)等途徑來加強(qiáng)員工對信息安全重要性的認(rèn)識,進(jìn)而提高自身的信息安全風(fēng)險(xiǎn)防范意識和觀念。
3.2加強(qiáng)信息化建設(shè),設(shè)置信息安全管理部門
在企業(yè)信息化建設(shè)中,信息安全作為重要的基礎(chǔ),企業(yè)要強(qiáng)化自身的內(nèi)部控制,就應(yīng)該落實(shí)信息安全的建設(shè)工作。加強(qiáng)信息化建設(shè)首先需要企業(yè)將信息安全納入安全管理范圍內(nèi),進(jìn)而突出信息安全建設(shè)管理的重要地位;然后不斷健全信息安全的責(zé)任制度,爭取形成信息安全聯(lián)動(dòng)管理機(jī)制,確保信息安全管理的有效性;最后,在企業(yè)中設(shè)置信息安全管理機(jī)構(gòu),該部分的主要職能為企業(yè)信息安全建設(shè)、管理以及員工的信息安全教育培訓(xùn)工作等,從而為企業(yè)的信息安全風(fēng)險(xiǎn)控制創(chuàng)建一個(gè)良好的內(nèi)部環(huán)境[2]。
3.3運(yùn)用新技術(shù),加強(qiáng)信息安全風(fēng)險(xiǎn)防范
當(dāng)前控制信息安全風(fēng)險(xiǎn)常見的主要有VPN技術(shù)和防火墻技術(shù):(1)VPN技術(shù)。VPN主要指的是在公共網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)中建立一個(gè)臨時(shí)的安全鏈接,在通常情況下,對VPN內(nèi)部進(jìn)行擴(kuò)展可以實(shí)現(xiàn)遠(yuǎn)程操作,建立一條分公司、商業(yè)合作商和供應(yīng)商跟公司內(nèi)部網(wǎng)絡(luò)安全聯(lián)系,從而確保信息交換的安全性,保證數(shù)據(jù)傳輸?shù)陌踩浴#?)防火墻技術(shù)。防火墻也被稱為訪問控制系統(tǒng),主要是通過對網(wǎng)絡(luò)做拓?fù)浣Y(jié)構(gòu)和服務(wù)類型上的隔離來保障網(wǎng)絡(luò)安全。運(yùn)用防火墻技術(shù)可以保證企業(yè)的內(nèi)部網(wǎng)絡(luò)免受外部網(wǎng)絡(luò)的侵占,并阻斷非法訪問的外部網(wǎng)絡(luò)進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò),保證企業(yè)信息和資源的安全。
4結(jié)語
為了保障企業(yè)的信息安全,必須建立一個(gè)企業(yè)信息安全體系。信息安全體系包含信息安全策略、信息安全組織、信息安全技術(shù)和信息安全建設(shè)與運(yùn)行四部分內(nèi)容(如圖1所示),四者既有機(jī)結(jié)合、又相互支撐。企業(yè)的信息安全體系運(yùn)作就是企業(yè)根據(jù)安全策略,由安全組織(或人員)以安全技術(shù)作為工具和手段進(jìn)行操作,來維持企業(yè)網(wǎng)絡(luò)的安全運(yùn)行,從而使網(wǎng)絡(luò)安全可靠。
安全體系的普遍問題
當(dāng)前大多數(shù)企業(yè)的信息安全體系普遍存在以下四方面的問題:
信息安全策略方面:許多企業(yè)沒有統(tǒng)一的安全運(yùn)行體系;公司的安全策略沒有正式的審批和過程,沒有公司的行政力度進(jìn)行保障,使得安全策略在企業(yè)內(nèi)的執(zhí)行缺乏保障;缺乏規(guī)范的機(jī)制定期對信息安全策略、標(biāo)準(zhǔn)制度進(jìn)行評審和修訂。
信息安全組織方面:缺乏完整、有效、責(zé)權(quán)統(tǒng)一的專門的信息安全組織,只是配有少量的兼職安全人員。信息安全工作沒有明確的責(zé)任歸屬,工作的開展與落實(shí)有困難;缺少信息安全專業(yè)人員,缺乏相應(yīng)的安全知識和技能,安全培訓(xùn)不足;缺乏對于全員的信息安全意識教育,桌面系統(tǒng)用戶的安全意識薄弱。
信息安全技術(shù)方面:用戶認(rèn)證強(qiáng)度不夠;應(yīng)用系統(tǒng)安全功能與強(qiáng)度不足;缺乏有效的信息系統(tǒng)安全監(jiān)控與審計(jì)手段;系統(tǒng)配置存在安全隱患;網(wǎng)絡(luò)安全域劃分不夠清晰,網(wǎng)絡(luò)安全技術(shù)的采用缺乏一致性。
信息安全建設(shè)與運(yùn)行方面:沒有建立起完善的IT項(xiàng)目建設(shè)過程的安全管理機(jī)制,應(yīng)用系統(tǒng)的開發(fā)沒有同步考慮信息安全的要求,存在信息安全方面的缺陷;日常的安全運(yùn)維工作常處于被動(dòng)防御狀態(tài);缺乏明確的檢查和處罰機(jī)制,多數(shù)企業(yè)在運(yùn)維管理方面缺乏統(tǒng)一的安全要求和檢查;缺乏應(yīng)急響應(yīng)機(jī)制;對已有安全設(shè)施的維護(hù)、升級和管理不到位。
面對以上種種問題,企業(yè)必須認(rèn)真考慮下列問題: 企業(yè)如何建立信息安全策略體系?企業(yè)信息安全組織如何建立?企業(yè)信息安全技術(shù)是否有效可靠?企業(yè)信息安全建設(shè)與運(yùn)行是否有完整的制度保障?要解決這些問題,企業(yè)應(yīng)充分利用成熟的信息安全理論成果,設(shè)計(jì)出兼顧整體性、具有可操作性,并且融策略、組織、運(yùn)行和技術(shù)為一體的信息安全保障體系,保障企業(yè)信息系統(tǒng)的安全。
信息安全策略體系
信息安全策略體系規(guī)劃為三層架構(gòu),包括信息安全策略、信息安全標(biāo)準(zhǔn)及規(guī)范、信息安全操作流程和細(xì)則(如圖2所示),涉及的要素包括信息管理和技術(shù)兩個(gè)方面,覆蓋信息系統(tǒng)的物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層四個(gè)層面。
技術(shù)安全體系
在IAARC信息系統(tǒng)安全技術(shù)模型中,包含了身份認(rèn)證、內(nèi)容安全、訪問控制、響應(yīng)恢復(fù)和審核跟蹤五個(gè)部分,當(dāng)前主要的信息安全技術(shù)或產(chǎn)品都可以歸結(jié)到上述五類安全技術(shù)要素(如圖3所示)。
充分利用信息安全的技術(shù)手段(包括身份認(rèn)證、訪問管理、內(nèi)容安全、審核跟蹤和響應(yīng)恢復(fù)等五種保護(hù)措施),同時(shí),結(jié)合信息安全所保護(hù)的對象層次,以及目前主流的信息安全產(chǎn)品和信息安全技術(shù),完善企業(yè)信息安全技術(shù)體系框架。
整個(gè)企業(yè)信息安全技術(shù)體系的總體框架如圖4所示:
物理層安全
主要包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)和電磁防護(hù)等。
網(wǎng)絡(luò)層安全
要建立注重安全域劃分和安全架構(gòu)的設(shè)計(jì)。可以根據(jù)信任程度、受威脅的級別、需要保護(hù)的級別和安全需求,將網(wǎng)絡(luò)從總體上分成四個(gè)安全域,即公共區(qū)、半安全區(qū)、普通安全區(qū)和核心安全區(qū)。針對不同的安全區(qū)域采用不同的安全防范手段。
安全邊界的防護(hù)。邊界是不同網(wǎng)絡(luò)安全區(qū)域之間的分界線,是不同網(wǎng)絡(luò)安全區(qū)域間數(shù)據(jù)流動(dòng)的必經(jīng)之路。安全區(qū)域的邊界防護(hù)是根據(jù)不同安全區(qū)域的安全需要,采取相應(yīng)的安全技術(shù)防護(hù)手段,制定合理的安全訪問控制策略,控制低安全區(qū)域的數(shù)據(jù)向高安全區(qū)域流動(dòng)。
針對VPN的接入安全控制。用戶遠(yuǎn)程VPN接入主要用于員工出差時(shí)訪問內(nèi)部網(wǎng)絡(luò)的需求和各企業(yè)小規(guī)模分支機(jī)構(gòu)訪問內(nèi)部網(wǎng)的需求。VPN(虛擬專用網(wǎng))是為通過一個(gè)公用網(wǎng)絡(luò)(通常是互聯(lián)網(wǎng))建立一個(gè)臨時(shí)的、安全的連接,是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。
網(wǎng)絡(luò)準(zhǔn)入控制。網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是通過對網(wǎng)絡(luò)用戶合法身份的驗(yàn)證以及對網(wǎng)絡(luò)終端計(jì)算機(jī)安全狀態(tài)的檢測和評估,決定是否允許這臺網(wǎng)絡(luò)終端計(jì)算機(jī)接入企業(yè)網(wǎng)絡(luò)中。若不符合制定的準(zhǔn)入策略,將其放入隔離區(qū)以修復(fù),或僅允許其有限地訪問資源。降低非法用戶隨意接入企業(yè)網(wǎng)和不安全的計(jì)算機(jī)終端接入企業(yè)網(wǎng)對網(wǎng)絡(luò)安全帶來的潛在威脅。
做好網(wǎng)絡(luò)設(shè)備登錄認(rèn)證。建立集中的網(wǎng)絡(luò)設(shè)備登錄認(rèn)證系統(tǒng),用于對網(wǎng)絡(luò)設(shè)備維護(hù)用戶的集中管理,認(rèn)證用戶的身份,決定其是否可以登錄到網(wǎng)絡(luò)設(shè)備;通過定義不同級別的用戶,授權(quán)他們能執(zhí)行的不同操作,記錄并審計(jì)用戶的登錄和操作。
系統(tǒng)層安全
做好系統(tǒng)主機(jī)的入侵檢測,針對系統(tǒng)主機(jī)的網(wǎng)絡(luò)訪問進(jìn)行監(jiān)測,及時(shí)發(fā)現(xiàn)外來入侵和系統(tǒng)級用戶的非法操作行為;要做好系統(tǒng)主機(jī)的訪問控制,系統(tǒng)主機(jī)訪問控制提供給系統(tǒng)安全管理員最有效的方法,從用戶登錄安全、訪問控制安全、系統(tǒng)日志安全等方面加入安全機(jī)制;要做好系統(tǒng)主機(jī)的安全加固,定期對服務(wù)器操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)進(jìn)行安全配置和加固,在不影響業(yè)務(wù)處理能力的前提下對系統(tǒng)的配置進(jìn)行安全優(yōu)化,以提高系統(tǒng)自身的抗攻擊性,消除安全漏洞,降低安全風(fēng)險(xiǎn);做好主機(jī)的安全審計(jì)工作,提供全面的安全審計(jì)日志和數(shù)據(jù),提升主機(jī)審計(jì)保護(hù)能力,對審計(jì)數(shù)據(jù)的訪問進(jìn)行嚴(yán)格控制,加強(qiáng)對審計(jì)數(shù)據(jù)的完整性保護(hù)。
應(yīng)用層安全
隨著各種各樣的系統(tǒng)應(yīng)用不斷深化和普及,一些應(yīng)用系統(tǒng)安全問題不斷凸現(xiàn)出來。為了最大限度及時(shí)規(guī)避因應(yīng)用安全問題帶來的威脅,應(yīng)著力抓好六個(gè)方面的工作:建立應(yīng)用安全基礎(chǔ)設(shè)施;健全應(yīng)用安全相關(guān)規(guī)范;改進(jìn)應(yīng)用開發(fā)過程;組織關(guān)鍵應(yīng)用安全性測試;加強(qiáng)應(yīng)用安全相關(guān)人員管理;制定應(yīng)用安全文檔及應(yīng)急預(yù)案。
終端層安全
加強(qiáng)終端電腦的安全管理。終端安全指對接入企業(yè)網(wǎng)絡(luò)的終端設(shè)備(主要是臺式計(jì)算機(jī)、筆記本電腦和其他移動(dòng)設(shè)備等)進(jìn)行的安全管理。內(nèi)容包括終端安全策略、防病毒、防入侵、防火墻、軟硬件資產(chǎn)管理、終端補(bǔ)丁管理、終端配置管理、終端準(zhǔn)入控制以及法規(guī)遵從等內(nèi)容。
備份與恢復(fù)
備份與恢復(fù)是基于安全事件發(fā)生后保證災(zāi)難所造成的損失在一個(gè)可以接受的范圍內(nèi)、并使災(zāi)難得到有效恢復(fù)的安全機(jī)制,包括數(shù)據(jù)級、應(yīng)用級和業(yè)務(wù)級三個(gè)層次。參照國際標(biāo)準(zhǔn)Share78中定義的容災(zāi)系統(tǒng)層次劃分,對不同等級的信息系統(tǒng)建立不同的備份與恢復(fù)機(jī)制。主要工作包括:開發(fā)容災(zāi)計(jì)劃,通過對不同等級的信息系統(tǒng)容災(zāi)需求分析,確定容災(zāi)等級、RTO\RPO等容災(zāi)指標(biāo)、備份策略、恢復(fù)性測試要求等,設(shè)計(jì)容災(zāi)方案;備份與恢復(fù)基礎(chǔ)設(shè)施的建設(shè),包括建立異地災(zāi)難恢復(fù)系統(tǒng)和重要數(shù)據(jù)的本地備份設(shè)施。
信息安全組織
信息安全組織的角色與職責(zé)要界定清晰。信息管理層進(jìn)行適當(dāng)?shù)穆氊?zé)劃分,能合理阻止關(guān)鍵流程的破壞。同時(shí)應(yīng)加強(qiáng)全員的信息安全意識教育,提高員工整體信息安全意識。建立安全組織與定義安全職責(zé)是密不可分的兩項(xiàng)工作,組織與職責(zé)的清晰定義可以有效地促進(jìn)信息安全各項(xiàng)工作的進(jìn)行,包括信息安全教育與培訓(xùn)以及人員安全。企業(yè)要建立的信息安全組織要包含決策、管理、執(zhí)行與監(jiān)管四個(gè)層面。
信息安全教育與培訓(xùn)要覆蓋公司各個(gè)層面的人員,提升整個(gè)企業(yè)人員安全的水平,同時(shí)人員安全的相關(guān)工作在制度和機(jī)制方面為教育與培訓(xùn)提供有效保障。
現(xiàn)代供應(yīng)鏈中無論是企業(yè)內(nèi)部的生產(chǎn)、銷售訂單、合作企業(yè)的生產(chǎn)進(jìn)度,還是企業(yè)間的資金轉(zhuǎn)帳、招投標(biāo)信息,都是需要高度保密的敏感信息,這些信息的準(zhǔn)確性、機(jī)密性將直接影響到供應(yīng)鏈企業(yè)的生產(chǎn)和經(jīng)營決策[2]。在供應(yīng)鏈中,由于信息在節(jié)點(diǎn)企業(yè)間共享,對信息安全提出了新的要求:(1)信息安全不再是某個(gè)企業(yè)個(gè)體的事情,而是整條供應(yīng)鏈所有節(jié)點(diǎn)企業(yè)共同面臨的問題,任何一家企業(yè)由于自身原因?qū)е碌男畔踩鹿?將可能危害整條供應(yīng)鏈的利益。供應(yīng)鏈信息安全保障工作要遠(yuǎn)比單個(gè)企業(yè)復(fù)雜。(2)供應(yīng)鏈上下游企業(yè)形成“委托—”關(guān)系,具有優(yōu)勢的方往往傾向于增加信息不對稱,來獲得額外的利益。(3)由于供應(yīng)鏈企業(yè)間共享的信息具有較高的商業(yè)價(jià)值,有些企業(yè)為了自身利益,可能會將共享的信息泄露給供應(yīng)鏈外企業(yè)。如何既保證節(jié)點(diǎn)企業(yè)間的信息共享,又防止企業(yè)泄露信息、身份欺詐等有害行為的發(fā)生是供應(yīng)鏈信息安全需要研究的問題。
2供應(yīng)鏈信息安全現(xiàn)狀與問題
目前,我國企業(yè)在供應(yīng)鏈管理的實(shí)踐中,對供應(yīng)鏈信息安全或者重視不夠或者束手無策,存在一些較為突出的問題。
(1)信息安全意識淡薄目前我國很多供應(yīng)鏈節(jié)點(diǎn)企業(yè)沒有意識到信息是重要資產(chǎn),沒有把信息安全管理工作作為日常工作的重點(diǎn)。據(jù)北京谷安天下公司開展的《2011年度中國企業(yè)員工信息安全意識調(diào)查》活動(dòng)結(jié)果顯示,受訪者的工作胸卡保管、個(gè)人及公司物品保管、出差物理環(huán)境安全、辦公桌面安全、打印機(jī)安全、尾隨、口令/密碼設(shè)置、敏感數(shù)據(jù)保護(hù)、數(shù)據(jù)備份、密級資料處理、電腦桌面安全等相關(guān)安全意識相對較差。
(2)信息安全管理無章可循、有章不循現(xiàn)象普遍供應(yīng)鏈信息安全工作缺乏統(tǒng)一的依據(jù)和準(zhǔn)則,節(jié)點(diǎn)企業(yè)的安全制度互相間存在內(nèi)容交叉甚至矛盾,邊界定義不明確,安全職責(zé)模糊不清,部門責(zé)任和崗位責(zé)任制得不到真正落實(shí),執(zhí)行監(jiān)督機(jī)制薄弱。許多企業(yè)對移動(dòng)存儲設(shè)備的使用無嚴(yán)格規(guī)定,員工可以隨意使用移動(dòng)存儲設(shè)備對文件進(jìn)行存儲備份,企業(yè)信息逐步成為個(gè)人資產(chǎn),隨著人員流動(dòng)而廣泛傳播。員工工作時(shí)間上網(wǎng)暢通無阻,無限制地使用QQ、MSN等傳送、接收文件,容易導(dǎo)致機(jī)密泄露和病毒、木馬、黑客的攻擊。掌握大量機(jī)密信息的特權(quán)員工,例如數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、營銷主管和技術(shù)研發(fā)人員容易將掌握的機(jī)密信息出售給企業(yè)的競爭對手。
(3)缺乏信息安全技術(shù)與管理人才信息化建設(shè)中存在重硬件,輕軟件和管理的現(xiàn)象,對信息人才的培養(yǎng)與引進(jìn)關(guān)注不夠。為了節(jié)約人力成本,往往一個(gè)信息安全管理員既要負(fù)責(zé)系統(tǒng)的配置,又要負(fù)責(zé)系統(tǒng)安全管理,管理權(quán)限過于集中,一旦出現(xiàn)管理員的權(quán)限失控或離職等情況,極易導(dǎo)致重要信息泄露。
(4)缺乏統(tǒng)一的信息安全戰(zhàn)略規(guī)劃和防范機(jī)制許多企業(yè)的信息安全措施隨意性很強(qiáng),缺少嚴(yán)格的科學(xué)論證,采取的是“貼膏藥”式的安全策略,從而引起軟硬件安全設(shè)備(系統(tǒng))間防護(hù)功能的重疊和弱化,導(dǎo)致管理難度加大,重復(fù)投資現(xiàn)象普遍[6]。有些企業(yè)經(jīng)常出現(xiàn)“先業(yè)務(wù),后安全”的現(xiàn)象[7],安全管理嚴(yán)重滯后于業(yè)務(wù)的發(fā)展。安全事件發(fā)生后才去解決,信息安全人員變成“救火員”,安全建設(shè)經(jīng)常是“亡羊補(bǔ)牢”。
(5)供應(yīng)鏈企業(yè)之間信息的共享與交流存在安全問題供應(yīng)鏈各節(jié)點(diǎn)企業(yè)在合作過程中一再強(qiáng)調(diào)依靠信息共享實(shí)現(xiàn)雙贏,但又都是獨(dú)立的利益?zhèn)€體,一旦企業(yè)之間發(fā)生利益沖突,則容易出現(xiàn)的主要問題有:①合作伙伴的逆向選擇風(fēng)險(xiǎn)[8]。由于信息不對稱,各節(jié)點(diǎn)企業(yè)形成的“委托—”關(guān)系往往導(dǎo)致了一種逆向選擇的風(fēng)險(xiǎn)。委托方往往比方處于更不利的位置,企業(yè)往往通過阻礙信息共享,增加供應(yīng)鏈中信息的不對稱,從合作伙伴那里獲得更大利益。②供應(yīng)鏈節(jié)點(diǎn)企業(yè)的敗德行為。當(dāng)前我國企業(yè)與供應(yīng)鏈(網(wǎng)絡(luò)信息犯罪)相關(guān)法律法規(guī)不健全的法制環(huán)境下,節(jié)點(diǎn)企業(yè)會利用信息優(yōu)勢而采取一些違背供應(yīng)鏈整體利益或者其它成員企業(yè)利益的措施。企業(yè)會主動(dòng)或有意將供應(yīng)鏈內(nèi)共享的信息泄露給沒用參與共享的企業(yè)來獲得額外利益。企業(yè)成員間還存在欺詐行為,如不法企業(yè)利用身份欺騙,以某企業(yè)成員的名義,欺騙其他企業(yè)成員[9]。諸如此類敗德行為如不加控制會降低供應(yīng)鏈的服務(wù)水準(zhǔn),導(dǎo)致供應(yīng)鏈其余節(jié)點(diǎn)企業(yè)、顧客的不滿和利益流失。
3供應(yīng)鏈信息安全體系框架
供應(yīng)鏈信息安全系統(tǒng)中的各個(gè)安全組件或要素只有整合成為一個(gè)整體協(xié)同作用時(shí),才能有效保證整體安全管控的目標(biāo)得以實(shí)現(xiàn)。然而,對于我國大多數(shù)供應(yīng)鏈企業(yè)說,信息安全存在上述諸多問題,主要原因是在信息安全建設(shè)之初,沒有根據(jù)供應(yīng)鏈整體業(yè)務(wù)發(fā)展的需要確立合理的信息安全需求,導(dǎo)致供應(yīng)鏈信息安全架構(gòu)不合理。供應(yīng)鏈信息安全框架旨在為供應(yīng)鏈及其節(jié)點(diǎn)企業(yè)提供一個(gè)全面的、自上而下的、結(jié)合了國際國內(nèi)相關(guān)安全標(biāo)準(zhǔn)的安全模172型[1]。供應(yīng)鏈信息安全框架由企業(yè)信息安全治理、信息安全管理、基礎(chǔ)安全服務(wù)和架構(gòu)、第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)和供應(yīng)鏈信息安全技術(shù)標(biāo)準(zhǔn)體系五個(gè)模塊構(gòu)成。安全治理作為架構(gòu)的核心內(nèi)容,是安全管理模塊的服務(wù)對象,同時(shí),它們也是信息安全策略制定的基礎(chǔ)和依據(jù),還是基礎(chǔ)安全服務(wù)和架構(gòu)模塊中的各個(gè)子系統(tǒng)提供選擇和建設(shè)的依據(jù)。基礎(chǔ)安全服務(wù)和架構(gòu)模塊是信息安全建設(shè)技術(shù)需求和功能的實(shí)現(xiàn)者,是信息安全建設(shè)的重要支柱。中間的安全管理模塊則通過一系列控制措施,確保基礎(chǔ)安全服務(wù)功能的實(shí)現(xiàn),最終實(shí)現(xiàn)安全治理的要求,滿足供應(yīng)鏈系統(tǒng)的信息安全需求。供應(yīng)鏈信息技術(shù)標(biāo)準(zhǔn)體系為供應(yīng)鏈和第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)提供了標(biāo)準(zhǔn)保障和依據(jù),有利于形成健康法制的第三方信息安全服務(wù)市場環(huán)境。第三方信息安全服務(wù)與認(rèn)證機(jī)構(gòu)可彌補(bǔ)供應(yīng)鏈企業(yè)信息安全技術(shù)和經(jīng)驗(yàn)的不足,提供安全托管及信息安全認(rèn)證服務(wù)。
4供應(yīng)鏈信息安全體系框架的應(yīng)用
供應(yīng)鏈信息安全框架參考了眾多企業(yè)所積累的經(jīng)驗(yàn),吸取了供應(yīng)鏈信息安全領(lǐng)域的最新理論研究成果。在具體運(yùn)用中可結(jié)合信息安全相關(guān)方法論、模型及標(biāo)準(zhǔn),從企業(yè)需求出發(fā),參照供應(yīng)鏈信息安全管理框架,通過評估和風(fēng)險(xiǎn)分析等方法,定義供應(yīng)鏈及其節(jié)點(diǎn)企業(yè)安全需求,再根據(jù)安全需求定義信息安全建設(shè)的內(nèi)容和方向,如圖2所示。圖2供應(yīng)鏈信息安全體系框架應(yīng)用。
5結(jié)論
關(guān)鍵詞:電信企業(yè);信息安全;風(fēng)險(xiǎn)防控;管理體系;建設(shè);研究
一、電信企業(yè)信息管理的現(xiàn)狀與作用
(一)電信企業(yè)信息管理體系的現(xiàn)狀
隨著社會的發(fā)展,無論是個(gè)人還是企業(yè),都越來越離不開科學(xué)技術(shù)。這也導(dǎo)致科技所引發(fā)的信息安全管理體系的問題出現(xiàn)。1、針對信息安全管理體系的建設(shè)沒有創(chuàng)建出專門的管理機(jī)構(gòu)由于在信息管理方面,企業(yè)沒有一個(gè)系統(tǒng)的較為權(quán)威的管理部門及相關(guān)組織,其管理權(quán)限分散在建設(shè)、運(yùn)維、系統(tǒng)支撐、市場等部門,在很大程度上致使企業(yè)信息管理中的相關(guān)法規(guī)得不到正常有效的運(yùn)行。2、未能充分的考慮企業(yè)相關(guān)管理部門與信息安全管理體系的建設(shè)完善由于電信企業(yè)的特殊性,在具體的信息安全建設(shè)管理中,信息體系建設(shè)和信息安全管理的工作不夠協(xié)調(diào),使得企業(yè)在信息安全管理的相關(guān)工作上沒法進(jìn)行積極主動(dòng)實(shí)施,導(dǎo)致了企業(yè)信息安全管理體系建設(shè)工作的沒能與相關(guān)體系升級換代同步進(jìn)行。3、企業(yè)信息管理建設(shè)滯后對于相關(guān)部門而言,信息安全管理常常局限于使用比較局部的安全產(chǎn)品進(jìn)行保障,這樣就容易形成被動(dòng)的使用相關(guān)辦法來應(yīng)對信息安全的漏洞風(fēng)險(xiǎn),導(dǎo)致此類方法嚴(yán)重缺乏科學(xué)性,而且由于使用范圍的局限,從而也不完全能夠抵御安全問題給企業(yè)所帶來的運(yùn)營風(fēng)險(xiǎn)。
(二)企業(yè)信息安全管理的作用
信息安全管理體系的建設(shè)是對企業(yè)來說非常重要,尤其是電信企業(yè),通過信息安全管理體系的建設(shè),不僅有利于提高相關(guān)部門的工作人員的信息安全意識,而且還能夠加強(qiáng)對信息安全的管理組織的規(guī)范管理,通過充分有效的安全信息維護(hù),能夠幫助企業(yè)在信息管理受到嚴(yán)重威脅時(shí)可以及時(shí)消除風(fēng)險(xiǎn),從而維護(hù)國家、企業(yè)、廣大用戶的切身利益,確保電信企業(yè)在國家信息建安全戰(zhàn)略中的中流砥柱作用。
二、電信企業(yè)信息管理建設(shè)的有效方法
(一)制定有效的信息管理計(jì)劃
在企業(yè)管理中,有效的信息安全管理,是企業(yè)發(fā)展的前提;信息管理建設(shè)需要有效的策劃:1、教育培訓(xùn)在企業(yè)管理中,做好教育培訓(xùn)工作是非常重要的,通過相關(guān)培訓(xùn),不但能夠提高相關(guān)人員的安全信息管理意識,強(qiáng)化相關(guān)人員實(shí)際操作能力,而且還可以為信息管理體系吸引大量的相關(guān)人才。2、制定信息安全管理計(jì)劃制定管理的相關(guān)計(jì)劃是企業(yè)發(fā)展中的關(guān)鍵環(huán)節(jié),所以,為了企業(yè)的可持續(xù)發(fā)展,相關(guān)部門需要制定信息管理體系建設(shè)的標(biāo)準(zhǔn),擬定相關(guān)計(jì)劃。
(二)電信企業(yè)信息管理建設(shè)的范圍
對于一個(gè)企業(yè)來說,確定信息管理體系的范圍是非常重要的,其需要相關(guān)部門人員根據(jù)實(shí)際情況來進(jìn)行重點(diǎn)有效的管理,這個(gè)管理的范圍就是安全管理體系的范圍。這一范圍還可分為整體范圍與個(gè)別信息安全管理范圍,通過不同的部門可對管理組織進(jìn)行劃分,并在一定的程度上進(jìn)行不同力度的管理。就電信企業(yè)而言,主要涉及企業(yè)信息管理和用戶信息管理,其安全體系建設(shè)貫穿在企業(yè)運(yùn)行的全過程。
(三)建立企業(yè)信息管理框架
對一個(gè)企業(yè)而言,企業(yè)的信息管理必須建立起一個(gè)嚴(yán)格的管理模式。具體步驟如下:1、信息安全管理體制的計(jì)劃在規(guī)劃信息安全管理體系時(shí),首先的一個(gè)步驟就是對企業(yè)的信息安全管理有一個(gè)明確的計(jì)劃。這樣一來不僅能夠?qū)罄m(xù)工作做了一個(gè)提前的準(zhǔn)備,有利于建立管理機(jī)構(gòu),而且還能夠?qū)芾淼呢?zé)任做出明確的規(guī)定,能夠更好的確立管理目標(biāo),評估管理風(fēng)險(xiǎn)。2、企業(yè)信息安全管理的實(shí)施有了一定的企業(yè)信息安全管理體系的計(jì)劃,接下來的一個(gè)重要步驟就是計(jì)劃的實(shí)施過程,過程主要有信息安全管理方法應(yīng)用和相關(guān)措施落實(shí)等。3、企業(yè)信息安全管理體制的檢查這個(gè)階段的工作開展要做好充分的準(zhǔn)備,因?yàn)檫@一階段是整個(gè)計(jì)劃的關(guān)鍵階段,主要通過審計(jì)、自我評估或借助第三方審核等方法來對計(jì)劃實(shí)施的效果進(jìn)行審查。
三、結(jié)束語
綜上所述,“我國電信運(yùn)營企業(yè)的信息安全風(fēng)險(xiǎn)無處不在,安全形勢日益嚴(yán)峻,迫切需要系統(tǒng)、科學(xué)、有效的信息安全風(fēng)險(xiǎn)管理體系理論指導(dǎo)管理工作實(shí)踐。”通過本文,我們了解到我國電信企業(yè)的信息安全管理體系方面的現(xiàn)狀以及信息安全管理的重要性,通過相關(guān)部門的共同努力,切實(shí)提高信息安全管理水平,維護(hù)好國家安全和公共利益安全,為建設(shè)信息化強(qiáng)國做出應(yīng)有的貢獻(xiàn)。
參考文獻(xiàn):
[1]鄭敏.關(guān)于信息安全管理體系建設(shè)的研究[J].計(jì)算機(jī)光盤軟件與應(yīng)用,2014
[2]曾劍秋,程廣煥,楊萌柯.電信運(yùn)營企業(yè)信息安全風(fēng)險(xiǎn)管理體系研究[J].科技管理研究,2016
實(shí)驗(yàn)?zāi)康模毫私馄髽I(yè)信息化的一般過程。
掌握企業(yè)信息化中企業(yè)領(lǐng)導(dǎo)的管理工作。
掌握企業(yè)信息化中一般員工的工作。
實(shí)驗(yàn)情況及實(shí)驗(yàn)結(jié)果:1、上網(wǎng)查找一個(gè)企業(yè)信息化的成功案例,思考一下問題:
(1) 該企業(yè)為何進(jìn)行信息化的建設(shè)?
答:中國人民財(cái)產(chǎn)保險(xiǎn)股份有限公司就是一個(gè)成功的信息化的企業(yè).
九十年代,隨著網(wǎng)絡(luò)等信息技術(shù)的發(fā)展,公司的信息技術(shù)建設(shè)也邁上了新的臺階。由于公司機(jī)構(gòu)眾多,各地業(yè)務(wù)差異較大,信息系統(tǒng)建設(shè)多是各自為政,全盤的考慮與規(guī)劃存在不足。于是于XX年,公司與ibm攜手制定了中國人保信息技術(shù)發(fā)展五年規(guī)劃,這是公司戰(zhàn)略發(fā)展的重要組成部分。規(guī)劃的制定結(jié)合了公司當(dāng)時(shí)的經(jīng)營、管理情況,并與總公司、分公司各層級管理、技術(shù)人員充分溝通、交流,吸收了他們很多的建議、想法,同時(shí)參考了國際上許多金融企業(yè)成功案例。
(2) 該企業(yè)的信息化過程是怎樣的?
答: 信息技術(shù)五年規(guī)劃制定以后,信息技術(shù)部便以此為參照,目標(biāo)是建設(shè)全險(xiǎn)種、大集中、共平臺、寬網(wǎng)絡(luò)、同標(biāo)準(zhǔn)的基本體系架構(gòu)。
信息化整體思路:
1、數(shù)據(jù)模型標(biāo)準(zhǔn)化,應(yīng)用平臺統(tǒng)一化;
2、業(yè)務(wù)數(shù)據(jù)逐步集中存儲,業(yè)務(wù)系統(tǒng)逐步集中處理;
3、分析產(chǎn)生的數(shù)據(jù),為業(yè)務(wù)、管理和決策服務(wù);
4、加強(qiáng)網(wǎng)絡(luò)和信息安全建設(shè),提供多渠道的客戶訪問服務(wù)。
(3)信息化給企業(yè)帶來了什么效益?
答: 回顧幾年以來公司信息化建設(shè)歷程,已基本建成全險(xiǎn)種、大集中、共平臺、寬網(wǎng)絡(luò)、同標(biāo)準(zhǔn)的基本體系架構(gòu),并在數(shù)據(jù)的分析處理方面作了大量工作,成果斐然。信息化建設(shè)的思路是科學(xué)合理地制定戰(zhàn)略發(fā)展規(guī)劃,并建立了標(biāo)準(zhǔn)化體系,搭建了統(tǒng)一的應(yīng)用平臺,然后將數(shù)據(jù)和業(yè)務(wù)處理逐步集中,在此基礎(chǔ)上,進(jìn)行數(shù)據(jù)的分析處理,為公司業(yè)務(wù)經(jīng)營和管理決策服務(wù)。與此同時(shí),進(jìn)行網(wǎng)絡(luò)和信息安全建設(shè),為信息化之路提供更好的條件和保障。指導(dǎo)思想的科學(xué)合理性與信息化建設(shè)者們的苦干實(shí)干相結(jié)合,公司的信息化建設(shè)結(jié)出了累累碩果,得到廣泛好評。公司開發(fā)的“新一代綜合業(yè)務(wù)處理系統(tǒng)”于XX年9月提名參加了chp ( computer-world honor program,計(jì)算機(jī)世界榮譽(yù)組織)“計(jì)算機(jī)世界榮譽(yù)獎(jiǎng)”的評選,此獎(jiǎng)項(xiàng)評選由idg集團(tuán)組織,全球上百家it公司總裁作為評委,是當(dāng)今世界信息技術(shù)領(lǐng)域獎(jiǎng)項(xiàng)之一,有“it奧斯卡”之稱。XX年4月,該系統(tǒng)已經(jīng)獲得本年度“計(jì)算機(jī)世界榮譽(yù)獎(jiǎng)”21世紀(jì)貢獻(xiàn)大獎(jiǎng)提名獎(jiǎng)。這是今年全球一家保險(xiǎn)企業(yè)獲獎(jiǎng),也是繼招商銀行去年獲獎(jiǎng)后,我國第二家以及本年度一家在該獎(jiǎng)項(xiàng)的“金融、保險(xiǎn)及地產(chǎn)領(lǐng)域”獲此殊榮的國內(nèi)企業(yè)。
【關(guān)鍵詞】電力企業(yè);網(wǎng)絡(luò)信息安全;管理
新時(shí)代是網(wǎng)絡(luò)信息時(shí)代,全世界信息網(wǎng)絡(luò)系統(tǒng)都在迅猛發(fā)展中。電力企業(yè)作為各行業(yè)中重中之重的國家基礎(chǔ)行業(yè),整個(gè)行業(yè)都對網(wǎng)絡(luò)信息系統(tǒng)有著極大的依賴性,網(wǎng)絡(luò)信息系統(tǒng)也以它快速、全面、及時(shí)的優(yōu)點(diǎn)給電力企業(yè)帶來了極大的經(jīng)濟(jì)效益。但是網(wǎng)絡(luò)信息系統(tǒng)所帶來的不僅是經(jīng)濟(jì)效益,同樣還有信息泄露的巨大風(fēng)險(xiǎn),一旦發(fā)生信息泄露或信息數(shù)據(jù)遭篡改,將為國家造成不可估計(jì)的經(jīng)濟(jì)損失。
近年來全球范圍內(nèi)計(jì)算機(jī)犯罪活動(dòng)猖獗,不斷發(fā)生黑客入侵、電腦病毒肆虐事件,給電力企業(yè)敲響了警鐘,網(wǎng)絡(luò)安全防范刻不容緩。很多受害者的網(wǎng)絡(luò)硬件及軟件技術(shù)都處于時(shí)展的主流,然而依然發(fā)生信息安全受損事件,這充分證明,僅僅依靠軟硬件的更新是不能很好的提升網(wǎng)絡(luò)信息安全水平的,除了安裝網(wǎng)絡(luò)安全產(chǎn)品,同樣重要的還有網(wǎng)絡(luò)信息的安全管理措施。所以,各電力企業(yè)都必須認(rèn)真面對和研究當(dāng)前網(wǎng)絡(luò)信息安全問題,及時(shí)采取合理有效的防范措施。
1、我國電力企業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀
1.1電力企業(yè)信息化的優(yōu)勢
進(jìn)入二十一世紀(jì)以來,隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,我國電力企業(yè)的信息化也有著很大的進(jìn)步:電力行業(yè)信息化設(shè)施較其他行業(yè)更完善,各電力企業(yè)主要崗位使用計(jì)算機(jī)工作的比率已經(jīng)基本達(dá)到100%,而且90%以上都建立起了覆蓋本部機(jī)關(guān)工作的局域網(wǎng);電力生產(chǎn)、調(diào)度自動(dòng)化系統(tǒng)廣泛應(yīng)用,已經(jīng)形成了較成熟的管理模式。其中發(fā)電生產(chǎn)自動(dòng)化監(jiān)控系統(tǒng)、電力調(diào)度SCADA系統(tǒng)等,大大提高了生產(chǎn)過程和電力調(diào)度的自動(dòng)化水平;電力營銷管理系統(tǒng)在全國各大電力企業(yè)廣泛應(yīng)用,各地(市)級電力企業(yè)都已實(shí)現(xiàn)業(yè)務(wù)受理計(jì)算機(jī)化。同時(shí)各地也在大力建設(shè)客戶服務(wù)中心,已經(jīng)有一批服務(wù)中心先行初步建立起來;國家電網(wǎng)公司及其下各級子公司開發(fā)應(yīng)用了電力生產(chǎn)、設(shè)備安檢、電力負(fù)荷及營銷管理的企業(yè)管理信息系統(tǒng),各大電力企業(yè)也在積極規(guī)劃企業(yè)信息化發(fā)展藍(lán)圖,大力進(jìn)行企業(yè)信息化建設(shè),推動(dòng)實(shí)現(xiàn)電力工業(yè)現(xiàn)代化進(jìn)程。
1.2當(dāng)前存在的問題
上述信息化優(yōu)勢證明我國電力企業(yè)近年來關(guān)于網(wǎng)絡(luò)信息化建設(shè)取得了一些成果,給行業(yè)信息化建設(shè)打下了良好的基礎(chǔ),但在網(wǎng)絡(luò)信息安全管理方面仍普遍存在較多問題。
1.2.1信息化機(jī)構(gòu)建設(shè)不健全。電力企業(yè)很少為信息管理部門專門設(shè)置機(jī)構(gòu),因而缺乏應(yīng)有的規(guī)范的崗位及建制。大多信息部門附屬在技術(shù)部、科技部或總經(jīng)理工作部門下,甚至僅設(shè)置一個(gè)專責(zé)人員負(fù)責(zé)。信息化管理是一項(xiàng)系統(tǒng)性的工程,沒有專門的部門負(fù)責(zé)是不能滿足現(xiàn)代企業(yè)信息化安全的需求的。
1.2.2企業(yè)管理阻礙信息化發(fā)展。有些電力企業(yè)管理辦法革新緩慢,大多采用較落后的、非現(xiàn)代信息化企業(yè)的管理模式。這樣的企業(yè)即便引入最完善的信息管理系統(tǒng)、最先進(jìn)的信息化設(shè)備,也只能受落后的企業(yè)管理模式所制約,無法發(fā)揮其應(yīng)有的作用。
1.2.3網(wǎng)絡(luò)結(jié)構(gòu)不合理。電力企業(yè)大多將公司網(wǎng)絡(luò)分為外網(wǎng)和內(nèi)網(wǎng),兩種網(wǎng)絡(luò)之間實(shí)行物理隔離措施,但很多企業(yè)的網(wǎng)絡(luò)交換機(jī)是一臺二層交換機(jī),決定了內(nèi)網(wǎng)和外網(wǎng)用戶在網(wǎng)絡(luò)中地位是平等的,導(dǎo)致安全問題只能靠完善管理系統(tǒng)去解決,給系統(tǒng)編寫帶來很多不必要的困難。
1.2.4身份認(rèn)證缺陷。電力企業(yè)一般只建立內(nèi)部使用的信息系統(tǒng),而企業(yè)內(nèi)部不同管理部門、不同層次員工有不同等級的授權(quán),根據(jù)授權(quán)等級不同決定各部門和員工訪問的數(shù)據(jù)和信息不同。這類授權(quán)是以身份認(rèn)證為基礎(chǔ)的信息訪問控制,但在當(dāng)前的企業(yè)身份認(rèn)證系統(tǒng)中大多存在缺陷和漏洞,給信息安全留下隱患。
1.2.5軟件系統(tǒng)安全風(fēng)險(xiǎn)較大。軟件系統(tǒng)安全風(fēng)險(xiǎn)指兩方面,一是編寫的各種應(yīng)用系統(tǒng)可能有漏洞造成安全風(fēng)險(xiǎn),二是操作系統(tǒng)本身風(fēng)險(xiǎn),隨著近期微軟停止對windows XP系統(tǒng)的服務(wù)支持,大量使用windows XP系統(tǒng)的信息管理軟件都將得不到系統(tǒng)漏洞的修補(bǔ),這無疑會給信息安全帶來極大風(fēng)險(xiǎn)。
1.2.6管理人員意識不足。很多電力企業(yè)員工網(wǎng)絡(luò)安全意識參差不齊,一方面是時(shí)代的迅速發(fā)展導(dǎo)致較年輕的管理人員安全意識較高,而對網(wǎng)絡(luò)接觸較少的中老年員工網(wǎng)絡(luò)安全意識較為缺乏;另一方面也有電力企業(yè)管理制度不夠完善、忽視對員工進(jìn)行及時(shí)培訓(xùn)的原因。在這種人員背景下,如果管理人員配備不當(dāng)、信息管理系統(tǒng)設(shè)置不合理都會給企業(yè)信息埋下安全隱患。
2、電力企業(yè)網(wǎng)絡(luò)信息安全管理措施
要建立完善合理的網(wǎng)絡(luò)信息安全管理體系,需要各企業(yè)認(rèn)清企業(yè)現(xiàn)狀,根據(jù)實(shí)際進(jìn)行統(tǒng)一規(guī)劃,分部建設(shè),保證建設(shè)內(nèi)容能科學(xué)有效的運(yùn)行。
2.1加強(qiáng)信息安全教育培訓(xùn)
不論計(jì)算機(jī)程序有多么先進(jìn)多么完善,如果操作管理人員素質(zhì)和意識不足,那也不能保證企業(yè)信息化的安全。因此,實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全管理的根本在人,可以根據(jù)員工職責(zé)分層次進(jìn)行培訓(xùn),一方面提高安全管理員工的專業(yè)知識水平及安全管理意識,另一方面加強(qiáng)對一線工作人員的安全意識教育,將網(wǎng)絡(luò)信息安全變?yōu)槠髽I(yè)文化和精神支柱的一部分。
2.2完善管理制度建設(shè)
電力企業(yè)要把網(wǎng)絡(luò)信息安全管理視為一個(gè)系統(tǒng)工程來考慮,必須在企業(yè)內(nèi)部建立起合理而完善的管理制度,比如:加強(qiáng)網(wǎng)絡(luò)日志管理;對安全審計(jì)數(shù)據(jù)嚴(yán)格管理;在企業(yè)網(wǎng)絡(luò)上安裝病毒防護(hù)軟件;規(guī)定不能隨意在內(nèi)網(wǎng)主機(jī)上下載互聯(lián)網(wǎng)數(shù)據(jù)、不能在內(nèi)網(wǎng)計(jì)算機(jī)上隨意使用來歷不明的移動(dòng)存儲設(shè)備等。
2.3不斷更新完善信息安全管理系統(tǒng)
大力推進(jìn)信息安全新技術(shù)的探索和應(yīng)用,建立信息安全防護(hù)體系,可以圍繞數(shù)據(jù)庫安全、數(shù)據(jù)備份和恢復(fù)、網(wǎng)絡(luò)服務(wù)完全、病毒防護(hù)系統(tǒng)的應(yīng)用、數(shù)據(jù)加密技術(shù)及數(shù)據(jù)傳輸安全等方面建立一個(gè)多方面多層次聯(lián)合的技術(shù)安全體系,從而提高信息系統(tǒng)安全防護(hù)能力,確保企業(yè)信息安全可靠。
3、總結(jié)
電力企業(yè)信息化是不可避免的發(fā)展趨勢,因此要實(shí)現(xiàn)企業(yè)的可持續(xù)發(fā)展就必須做好企業(yè)信息網(wǎng)絡(luò)安全的管理,電力企業(yè)要在不斷的探索實(shí)踐中,摸索新時(shí)期網(wǎng)絡(luò)信息安全管理措施,不斷完善和健全網(wǎng)絡(luò)信息安全建設(shè)。
參考文獻(xiàn)
[1]王雋.電力企業(yè)網(wǎng)絡(luò)信息安全防護(hù)體系的建立[J].信息與電腦(理論版),2012,07:22-23.
南京翔晟信息技術(shù)有限公司是一家以商用密碼產(chǎn)品研發(fā)和市場推廣為一體的綜合性公司,先后與南京大學(xué)和南京信息工程大學(xué)進(jìn)行了長期緊密合作,以公司為基礎(chǔ)相應(yīng)成立了軟件技術(shù)研發(fā)合作中心以及產(chǎn)學(xué)研培訓(xùn)基地,培養(yǎng)了許多軟件實(shí)用性人才。
南京翔晟信息技術(shù)有限公司所研發(fā)的商用密碼產(chǎn)品——基于PKI的電子簽章具有獨(dú)立自主的知識產(chǎn)權(quán),完全符合《中華人民共和國電子簽名法》等各項(xiàng)法律條文及國家商用密碼管理局的各項(xiàng)規(guī)定,是在國務(wù)院頒布的“中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例”和公安部頒布的“計(jì)算機(jī)信息網(wǎng)絡(luò)安全保護(hù)管理辦法”的框架下特制開發(fā)的。
南京翔晟的產(chǎn)品已在各互聯(lián)網(wǎng)領(lǐng)域得到了廣泛的運(yùn)用,目前,公司針對不同行業(yè)和領(lǐng)域的特殊性,把產(chǎn)品進(jìn)行了細(xì)化,已有針對性地為廣大消費(fèi)者提出了完美的技術(shù)解決方案。
自2009年公司成立以來,公司已成為“江蘇省軟件”企業(yè),其電子簽章產(chǎn)品已在全國近20多個(gè)省100多個(gè)地級以上城市的電子招投標(biāo)平臺上投入使用,累積了約20多萬的終端客戶量,并獲得廣泛好評。
南京翔晟相繼獲得了《公安部銷售許可證書》、《國家保密局檢測證書》、《商用密碼證書》、《軟件產(chǎn)品證書》、《軟件企業(yè)證書》、《軍用信息安全產(chǎn)品資質(zhì)》、《技術(shù)貿(mào)易證書》等十多個(gè)資質(zhì),并取得了十幾項(xiàng)專利及著作權(quán)。雄厚的軟件技術(shù)研發(fā)實(shí)力和卓越周到的服務(wù)水平,為我公司的商用密碼產(chǎn)品在國內(nèi)市場的推廣和銷售打下了堅(jiān)實(shí)的基礎(chǔ)。
南京翔晟信息技術(shù)有限公司擁有一支勇于創(chuàng)新的研發(fā)隊(duì)伍,憑借著自身雄厚的技術(shù)實(shí)力、領(lǐng)先的產(chǎn)品性能以及超前的服務(wù)意識先后與國內(nèi)各大行業(yè)中的知名軟件平臺開發(fā)商進(jìn)行緊密合作,先后在各大行業(yè)中成功地為客戶建立了可靠、安全的電子簽章平臺系統(tǒng),不僅節(jié)省了客戶的辦公費(fèi)用,并且為客戶的信息安全建設(shè)保駕護(hù)航,進(jìn)一步加速推動(dòng)了客戶的整個(gè)信息化建設(shè),提高了整體信息辦公系統(tǒng)的效率。
翔晟信息電子簽章系統(tǒng)的應(yīng)用不僅推動(dòng)電子政務(wù)、企業(yè)信息化系統(tǒng)信息的安全建設(shè)進(jìn)程,而且也在國內(nèi)的電子商務(wù)網(wǎng)絡(luò)信息安全建設(shè)領(lǐng)域發(fā)揮著領(lǐng)先、卓越的產(chǎn)品性能。
除了在全國電子招投標(biāo)行業(yè)廣泛運(yùn)用外,還在全國多家甲級醫(yī)院的電子病歷系統(tǒng)、電子文檔管理系統(tǒng),以及物流、軍隊(duì)、政府、企業(yè)系統(tǒng)辦公網(wǎng)中得到了實(shí)際應(yīng)用。
同時(shí),南京翔晟信息技術(shù)有限公司自主研發(fā)的硬件產(chǎn)品SSL數(shù)據(jù)安全網(wǎng)關(guān)和EVS電子驗(yàn)簽服務(wù)器也相應(yīng)在國家政府機(jī)關(guān)、軍隊(duì)、網(wǎng)上證券、網(wǎng)上銀行、電子政務(wù)、電子商務(wù)、企業(yè)遠(yuǎn)程辦公等系統(tǒng)中也得到了廣泛的采用,并為其互聯(lián)網(wǎng)應(yīng)用市場提供了高效、便捷、可靠的安全產(chǎn)品。
南京翔晟信息技術(shù)有限公司在吸取行業(yè)經(jīng)驗(yàn)的基礎(chǔ)上,本著“高效、分享、務(wù)實(shí)、創(chuàng)新”的精神,勇創(chuàng)未來,志攀高峰,以其雄厚的技術(shù)實(shí)力,愿與廣大消費(fèi)者分享信息技術(shù)的成果,更愿與所有的產(chǎn)品用戶共同探討,共同挖掘,將翔晟電子簽章產(chǎn)品打造成互聯(lián)網(wǎng)信息安全產(chǎn)品的運(yùn)營專家,讓翔晟電子簽章產(chǎn)品更好地為社會服務(wù)。
關(guān)鍵詞:發(fā)電企業(yè) 信息化 企業(yè)管理
隨著信息化建設(shè)的不斷加強(qiáng),信息化應(yīng)用已深入發(fā)電企業(yè)生產(chǎn)經(jīng)營管理的各項(xiàng)業(yè)務(wù)處理中,為發(fā)電企業(yè)管理工作提供不可或缺的信息化支撐平臺。
1.加強(qiáng)信息化制度建設(shè)
制度建設(shè)是提升信息化建設(shè)的根基。發(fā)電企業(yè)要加強(qiáng)信息化制度建設(shè),首先要明確目標(biāo),要明確通過管理制度建設(shè),規(guī)范信息化建設(shè)、運(yùn)維、安全控制、評價(jià)、考核等全過程管理,管控信息化業(yè)務(wù)流程及其運(yùn)維,保障信息化運(yùn)營同發(fā)電企業(yè)整體戰(zhàn)略目標(biāo)一致,從而為企業(yè)發(fā)展提供強(qiáng)有力的智力支撐和技術(shù)保障,提升企業(yè)內(nèi)涵式發(fā)展動(dòng)力。
對于發(fā)電企業(yè)而言,完善的信息化制度包括信息網(wǎng)絡(luò)運(yùn)維管理制度和信息系統(tǒng)運(yùn)維管理制度,通過制度對信息化所涉各部門、人員的權(quán)限和職責(zé)、網(wǎng)絡(luò)接入、信息網(wǎng)絡(luò)、應(yīng)用系統(tǒng)安全、網(wǎng)絡(luò)設(shè)備運(yùn)維、資產(chǎn)管理等方面進(jìn)行嚴(yán)格詳細(xì)的規(guī)范,以制度的規(guī)范化實(shí)現(xiàn)信息工作標(biāo)準(zhǔn)的提升。其次,信息系統(tǒng)業(yè)務(wù)關(guān)鍵用戶制度是發(fā)電企業(yè)信息化管理提升的關(guān)鍵,可實(shí)現(xiàn)信息化和業(yè)務(wù)的高度融合,促進(jìn)信息系統(tǒng)應(yīng)用效益的增長,能夠有效提升企業(yè)信息化系統(tǒng)應(yīng)用管理水平。
2.加強(qiáng)信息安全建設(shè)
隨著信息應(yīng)用日益普及深入,信息安全的形勢也日益嚴(yán)峻,信息安全對企業(yè)和個(gè)人造成的風(fēng)險(xiǎn)及危害日益加大。因此發(fā)電企業(yè)亟需重視信息系統(tǒng)安全,采取有效措施防止信息泄漏,做好重要數(shù)據(jù)保密、備份,保證企業(yè)信息安全。
在實(shí)際工作中,第一,要結(jié)合公安部信息安全等級保護(hù)、電力行業(yè)的合規(guī)性要求,基于ISMS(信息安全管理體系)和ISO27001體系的信息安全的方法體系,全面評估信息網(wǎng)絡(luò)安全現(xiàn)狀,找出突出問題和薄弱環(huán)節(jié),有針對性地采取防范對策和改進(jìn)措施。
第二,針對公司信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn),應(yīng)通過信息項(xiàng)目技術(shù)改造,完善網(wǎng)絡(luò)安全防護(hù)功能。完善防火墻安全策略配置,制定安全穩(wěn)定的服務(wù)器隔離機(jī)制,杜絕服務(wù)器網(wǎng)絡(luò)被非法侵入。加強(qiáng)內(nèi)網(wǎng)安全管理,采取網(wǎng)絡(luò)接入終端管理系統(tǒng),進(jìn)行外部設(shè)備準(zhǔn)入控制,配置及時(shí)可靠的預(yù)警系統(tǒng),制定嚴(yán)謹(jǐn)?shù)牟僮鞴芾砹鞒獭L峁┯行У墓收戏治鱿到y(tǒng),提高工作效率,迅速處理信息故障。
第三,針對信息應(yīng)用和數(shù)據(jù)安全,要重點(diǎn)防止重要信息的丟失和泄密。在服務(wù)器虛擬化實(shí)現(xiàn)應(yīng)用系統(tǒng)集中管理的同時(shí),要繼續(xù)提高鏈路可靠性,提供有效備用和備份手段,提高安全性。要提高存儲系統(tǒng)的利用率,加強(qiáng)存儲系統(tǒng)的備份機(jī)制,保證數(shù)據(jù)安全,避免數(shù)據(jù)丟失。
第四,針對企業(yè)計(jì)算機(jī)用戶信息安全管理,要采取技術(shù)管理和行政管理并重的措施。在采用技術(shù)管理手段的同時(shí),加強(qiáng)信息安全風(fēng)險(xiǎn)宣傳,通過典型案例和網(wǎng)絡(luò)安全漏洞介紹,提高個(gè)人信息安全防范意識。要加強(qiáng)企業(yè)信息安全管理辦法的宣貫和執(zhí)行,強(qiáng)調(diào)計(jì)算機(jī)安全、口令設(shè)置、數(shù)據(jù)備份的重要性,加強(qiáng)督促檢查,確保管理效果。
3.加強(qiáng)信息系統(tǒng)運(yùn)維管理
推動(dòng)企業(yè)信息化管理水平的不斷提升,需要根據(jù)企業(yè)實(shí)際,制定切實(shí)可行的運(yùn)維機(jī)制與目標(biāo)。例如,根據(jù)企業(yè)信息系統(tǒng)部署特點(diǎn),結(jié)合企業(yè)IT組織建設(shè)規(guī)劃,規(guī)劃運(yùn)維管理機(jī)制,力爭通過運(yùn)維機(jī)制的建立實(shí)現(xiàn)保障系統(tǒng)高可用性,保持運(yùn)維目標(biāo)同企業(yè)戰(zhàn)略目標(biāo)相一致,支持業(yè)務(wù)創(chuàng)新,為企業(yè)內(nèi)涵式發(fā)展帶來活力。
第一,應(yīng)建立信息系統(tǒng)技術(shù)支持綜合管理平臺。要建立服務(wù)于信息系統(tǒng)運(yùn)維體系的管理平臺,實(shí)現(xiàn)問題提交、處理、反饋流轉(zhuǎn),具備操作指導(dǎo)功能。基層信息系統(tǒng)在使用中,由于業(yè)務(wù)變動(dòng)、系統(tǒng)升級更新、經(jīng)驗(yàn)不足等原因,操作人員常常會產(chǎn)生使用疑惑,缺乏實(shí)時(shí)有效指導(dǎo)。對前臺操作開展即時(shí)幫助指導(dǎo),減少操作錯(cuò)誤產(chǎn)生的錯(cuò)誤、數(shù)據(jù)故障,無疑對減少運(yùn)維壓力、提高信息準(zhǔn)確性產(chǎn)生深遠(yuǎn)的影響。
第二,應(yīng)建立企業(yè)系統(tǒng)問題管理中心,服務(wù)于運(yùn)行維護(hù)的系統(tǒng)平臺,應(yīng)用中發(fā)現(xiàn)的問題都通過平臺按流程進(jìn)行上傳和反饋,并錄入數(shù)據(jù)庫以便查詢,從而實(shí)現(xiàn)運(yùn)維工作的系統(tǒng)化、標(biāo)準(zhǔn)化、規(guī)范化和協(xié)同化。運(yùn)維處理平臺要具有問題提出、問題答復(fù)、問題查詢等功能,并做到簡捷易用,以方便應(yīng)用層不同素質(zhì)人員的使用,實(shí)現(xiàn)知識庫共享。
第三,要加強(qiáng)運(yùn)維管理現(xiàn)代化建設(shè),實(shí)施科學(xué)化、精細(xì)化管理。要深化運(yùn)維崗責(zé)建設(shè),建立職責(zé)分明,工作有序的運(yùn)維崗位責(zé)任體系和績效考核落實(shí)體系。梳理各項(xiàng)工作職能,細(xì)化、量化運(yùn)維工作內(nèi)容和指標(biāo)。合理進(jìn)行崗位設(shè)置,將工作職能與運(yùn)維工作人員對應(yīng),可實(shí)行一人多崗,一崗多人,要建立考評機(jī)制,對運(yùn)維工作目標(biāo)和工作過程進(jìn)行考核和評價(jià),并進(jìn)行相應(yīng)的獎(jiǎng)勵(lì)和處罰。
第四,要建立完善的制度保障體系。在運(yùn)維系統(tǒng)建設(shè)過程中,要建立一整套科學(xué)的管理制度,如運(yùn)維管理辦法、應(yīng)急預(yù)案、考核辦法等制度,以保障運(yùn)維體系切實(shí)發(fā)揮其實(shí)用性、高效性。完善的運(yùn)維制度,是運(yùn)維體系穩(wěn)定運(yùn)行的根本保證,實(shí)現(xiàn)運(yùn)維管理人員按章有序地進(jìn)行維護(hù),減少運(yùn)維中的不確定因素,更有效地提高工作質(zhì)量和水平。通過嚴(yán)密的激勵(lì)、考核機(jī)制,形成對信息系統(tǒng)操作人員、運(yùn)維管理人員日常工作的科學(xué)評價(jià),既調(diào)動(dòng)其積極性,又提升工作效率,從而促進(jìn)信息化建設(shè)良性發(fā)展。
4.加強(qiáng)信息人才技術(shù)培訓(xùn)
企業(yè)各級管理人員也需要學(xué)習(xí)信息相關(guān)知識,適應(yīng)信息新技術(shù)應(yīng)用,業(yè)務(wù)系統(tǒng)上線及升級帶來的變化。
第一,要積極開展信息化培訓(xùn)工作。企業(yè)要積極開展信息安全培訓(xùn)和服務(wù)器虛擬化培訓(xùn)工作,例如某基層發(fā)電企業(yè)就通過組織FAM系統(tǒng)切換和上線工作中各模塊、各專業(yè)的應(yīng)用業(yè)務(wù)培訓(xùn),加強(qiáng)信息化培訓(xùn)。同時(shí)可以通過定期舉辦計(jì)算機(jī)知識培訓(xùn)、技術(shù)比武等活動(dòng),激勵(lì)職工學(xué)習(xí)技術(shù)的熱情。通過對取得優(yōu)異成績的給予物質(zhì)獎(jiǎng)勵(lì)、聘為“技術(shù)能手”等措施,逐步提高運(yùn)維技術(shù)人員的事業(yè)心和責(zé)任心,在運(yùn)維崗位上實(shí)現(xiàn)自我價(jià)值。
第二,要加強(qiáng)信息技術(shù)人才培養(yǎng)。作為信息中心工作人員,必須不斷跟蹤學(xué)習(xí)新技術(shù)新知識,要根據(jù)企業(yè)服務(wù)器虛擬化技術(shù)、備份升級、安全防護(hù)技術(shù)等新應(yīng)用,采用自學(xué)和外出培訓(xùn)相結(jié)合的方式加強(qiáng)學(xué)習(xí),適應(yīng)運(yùn)維工作需要。要加強(qiáng)應(yīng)用系統(tǒng)管理流程和具體業(yè)務(wù)管理工作對照學(xué)習(xí),全面掌握信息系統(tǒng)功能特點(diǎn),做好系統(tǒng)運(yùn)維和應(yīng)用深化工作。
信息安全防護(hù)要考慮不同層次的問題。例如網(wǎng)絡(luò)平臺就需要擁有網(wǎng)絡(luò)節(jié)點(diǎn)之間的相互認(rèn)證以及訪問控制;應(yīng)用平臺則需要有針對各個(gè)用戶的認(rèn)證以及訪問控制,這就需要保證每一個(gè)數(shù)據(jù)的傳輸?shù)耐暾院捅C苄裕?dāng)然也需要保證應(yīng)用系統(tǒng)的可靠性和可用性。一般電力企業(yè)主要采用的措施有:
1.1信息安全等級保護(hù)
信息安全等級保護(hù)是對信息和信息載體按照重要性等級分級別進(jìn)行保護(hù)的一種工作,工作包括定級、備案、安全建設(shè)和整改、信息安全等級測評、信息安全檢查五個(gè)階段。要積極參與信息安全等級定級評定,及時(shí)在當(dāng)?shù)毓矙C(jī)關(guān)進(jìn)行備案,然后根據(jù)對應(yīng)等級要求,組織好評測,然后開展針對性的防護(hù),從而提供全面的保障。
1.2網(wǎng)絡(luò)分區(qū)和隔離
運(yùn)用網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)安全設(shè)備將企業(yè)網(wǎng)絡(luò)劃分為若干個(gè)區(qū)域,通過在不同區(qū)域?qū)嵤┨囟ǖ陌踩呗詫?shí)現(xiàn)對區(qū)域的防護(hù),保證網(wǎng)絡(luò)及基礎(chǔ)設(shè)置穩(wěn)定正常,保障業(yè)務(wù)信息安全。
1.3終端安全防護(hù)
需要部署(實(shí)施)防病毒系統(tǒng)、上網(wǎng)行為管理、主機(jī)補(bǔ)丁管理等終端安全防護(hù)措施。通過這些安全措施使網(wǎng)絡(luò)內(nèi)的終端可以防御各種惡意代碼和病毒;可以對互聯(lián)網(wǎng)訪問行為監(jiān)管,為網(wǎng)絡(luò)的安全防護(hù)管理提供安全保障;可以自動(dòng)下發(fā)操作系統(tǒng)補(bǔ)丁,提高終端的安全性。
2.構(gòu)建信息安全防護(hù)體系
電力企業(yè)應(yīng)充分利用已經(jīng)成熟的信息安全理論成果,在此基礎(chǔ)上在設(shè)計(jì)出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術(shù)以及運(yùn)行為一體化的信息安全保障體系,從而保障信息安全。
2.1建立科學(xué)合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標(biāo)準(zhǔn)以及規(guī)范和多方面的細(xì)則,所涉及的基本要素包括信息管理和信息技術(shù)這兩方面,其覆蓋了信息系統(tǒng)的網(wǎng)絡(luò)層面、物理層面、系統(tǒng)層面以及應(yīng)用層面這四大層面。
2.2建設(shè)先進(jìn)可靠的信息安全技術(shù)防護(hù)體系
結(jié)合電力企業(yè)的特點(diǎn),在企業(yè)內(nèi)部形成分區(qū)、分域、分級、分層的網(wǎng)絡(luò)環(huán)境,然后充分運(yùn)用防火墻、病毒過濾、入侵防護(hù)、單向物理隔離、拒絕服務(wù)防護(hù)和認(rèn)證授權(quán)等技術(shù)進(jìn)行區(qū)域邊界防護(hù)。通過統(tǒng)一規(guī)劃,解決系統(tǒng)之間、系統(tǒng)內(nèi)部網(wǎng)段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護(hù)的業(yè)務(wù)系統(tǒng)分級防護(hù),避免安全要求低的業(yè)務(wù)系統(tǒng)的威脅影響到安全要求高的業(yè)務(wù)系統(tǒng),實(shí)現(xiàn)全方位的技術(shù)安全防護(hù)。同時(shí),還要結(jié)合信息機(jī)房物流防護(hù)、網(wǎng)絡(luò)準(zhǔn)入控制、補(bǔ)丁管理、PKI基礎(chǔ)設(shè)施、病毒防護(hù)、數(shù)據(jù)庫安全防護(hù)、終端安全管理和電子文檔安全防護(hù)等細(xì)化的措施,形成覆蓋企業(yè)全領(lǐng)域的技術(shù)防護(hù)體系。
2.3設(shè)置責(zé)權(quán)統(tǒng)一的信息安全組織體系
在企業(yè)內(nèi)部設(shè)置網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)機(jī)構(gòu)和工作機(jī)構(gòu),按照“誰主管誰負(fù)責(zé),誰運(yùn)營誰負(fù)責(zé)”原則,實(shí)行統(tǒng)一領(lǐng)導(dǎo)、分級管理。信息安全領(lǐng)導(dǎo)機(jī)構(gòu)由決策層組成,工作機(jī)構(gòu)由各部門管理成員組成。工作機(jī)構(gòu)一般設(shè)置在信息管理部門,包含安全管理員、系統(tǒng)管理員、網(wǎng)絡(luò)管理員和應(yīng)用管理員,并分配相關(guān)安全責(zé)任,使信息安全在組織內(nèi)得以有效管理。
2.4構(gòu)建全面完善的信息安全管理體系
對于電力企業(yè)的信息安全防范來說,單純的使用技術(shù)手段是遠(yuǎn)遠(yuǎn)不夠的,只有配合管理才能提供有效運(yùn)營的保障。
2.4.1用制度保證信息安全
企業(yè)要建立從指導(dǎo)性到具體性的安全管理框架體系。安全方針是信息安全指導(dǎo)性文件,指明信息安全的發(fā)展方向,為信息安全提供管理指導(dǎo)和支持;安全管理辦法是對信息安全各方面內(nèi)容進(jìn)行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎(chǔ)上描述各控制流程;安全規(guī)范和操作手冊則是為用戶提供詳細(xì)使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強(qiáng)人員信息安全培訓(xùn)、建立懲罰機(jī)制、加大關(guān)鍵崗位員工安全防范力度、加強(qiáng)離崗或調(diào)動(dòng)人員的信息安全審查等措施實(shí)現(xiàn)企業(yè)工作人員的規(guī)范管理,明確員工信息安全責(zé)任和義務(wù),避免人為風(fēng)險(xiǎn)。
2.4.3建設(shè)時(shí)就考慮信息安全
在網(wǎng)絡(luò)和應(yīng)用系統(tǒng)建設(shè)時(shí),就從生命周期的各階段統(tǒng)籌考慮信息安全,遵照信息安全和信息化建設(shè)“三同步”原則,即“同步規(guī)劃、同步建設(shè)、同步投入運(yùn)行”。
2.4.4實(shí)施信息安全運(yùn)行保障
主要是以資產(chǎn)管理為基礎(chǔ),風(fēng)險(xiǎn)管理為核心,事件管理為主線,輔以有效的管理、監(jiān)視與響應(yīng)功能,構(gòu)建動(dòng)態(tài)的可信安全運(yùn)行保障。同時(shí),還需要不斷完善應(yīng)急預(yù)案,做好預(yù)案演練,可以對信息安全事件進(jìn)行及時(shí)的應(yīng)急響應(yīng)和處置。
3.總結(jié)
關(guān)鍵詞:供電公司 網(wǎng)絡(luò)信息 安全建設(shè) 管理
1.電力系統(tǒng)的安全指標(biāo)
電力系統(tǒng)為各產(chǎn)業(yè)的發(fā)展提供電力資源,建立信息數(shù)據(jù)網(wǎng)有利于保障電力控制系統(tǒng)的安全。信息系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)信息的傳輸,同時(shí)在運(yùn)行效率、管理控制方面發(fā)揮著不可忽視的作用。信息系統(tǒng)的安全不僅局限于信息的保護(hù),還包括對信息系統(tǒng)的保護(hù)、檢測和恢復(fù)等[1]。為保證信息系統(tǒng)的穩(wěn)定傳輸,電力企業(yè)應(yīng)制定相應(yīng)的安全指標(biāo)。
1.1使用指標(biāo)
系統(tǒng)中存儲的信息必須具有使用價(jià)值,否則就沒有必要存儲進(jìn)信息系統(tǒng)。因此,電力企業(yè)應(yīng)確定采取安全保護(hù)措施的信息的可用性。如果用戶有需要,系統(tǒng)應(yīng)為其提供相應(yīng)的訪問服務(wù),避免因服務(wù)功能不及時(shí)等問題造成系統(tǒng)信息的異常存儲、傳輸和處理,給系統(tǒng)功能的正常發(fā)揮帶來影響。
1.2保密指標(biāo)
電力企業(yè)信息系統(tǒng)所用的數(shù)據(jù)信息必須進(jìn)行保密,只允許授權(quán)使用的人員查看,并不得透露給其他人員。目前,多數(shù)電力企業(yè)采用“授權(quán)、認(rèn)證”的方式進(jìn)行信息的保密,只允許授權(quán)使用的用戶使用信息系統(tǒng)。執(zhí)行保密指標(biāo),必須確保信息不被損壞、篡改和竊取。
1.3存儲指標(biāo)
實(shí)現(xiàn)網(wǎng)絡(luò)化控制是地理企業(yè)的改革創(chuàng)新,在網(wǎng)絡(luò)系統(tǒng)的運(yùn)行期間必須保證信息存儲的完整性。首先要確定紙質(zhì)、電子檔等信息存儲的形式,然后再根據(jù)實(shí)際需要進(jìn)行合適的存儲指標(biāo)選擇,保證使每項(xiàng)信息都能得到有效存儲和維護(hù)。
1.4審核指標(biāo)
對數(shù)據(jù)信息進(jìn)行定期審核有助于信息的安全管理。電力企業(yè)管理人員應(yīng)在的科學(xué)指導(dǎo)下進(jìn)行審核工作,給管理人員提供正確的決策和指示。此外,進(jìn)行信息審核能夠及時(shí)發(fā)現(xiàn)系統(tǒng)中存在的問題,提醒網(wǎng)絡(luò)控制人員對異常情況進(jìn)行及時(shí)處理,防止給信息系統(tǒng)的安全運(yùn)行帶來安全隱患。
1.5人員指標(biāo)
人是電力網(wǎng)絡(luò)信息系統(tǒng)中最關(guān)鍵的因素,系統(tǒng)最終需要技術(shù)人員的操作控制,如果專業(yè)人員技能不足,會給信息安全系統(tǒng)帶來很大風(fēng)險(xiǎn)。如:操作人員隨意安裝操作系統(tǒng)、隨意更改計(jì)算機(jī)代碼、隨意更新升級各類軟件等,都會給網(wǎng)絡(luò)信息系統(tǒng)帶來安全隱患,破壞網(wǎng)絡(luò)信息傳輸?shù)恼_M(jìn)行。
2.網(wǎng)絡(luò)信息安全防護(hù)對策
對于電力企業(yè)來說,電力資源信息化涉及的面廣,工程技術(shù)比較復(fù)雜,必須從總體考慮網(wǎng)絡(luò)資源的安全問題。為規(guī)避風(fēng)險(xiǎn),使網(wǎng)絡(luò)系統(tǒng)的運(yùn)行更加安全、高效,必須保證網(wǎng)絡(luò)的安全隔離。具體可采用以下技術(shù)解決網(wǎng)絡(luò)資源的安全:
2.1虛擬網(wǎng)技術(shù)
網(wǎng)絡(luò)管理者掌握虛擬網(wǎng)技術(shù)可以營造網(wǎng)絡(luò)運(yùn)行的穩(wěn)定環(huán)境,避免其受到外界因素的干擾。。在公共數(shù)據(jù)網(wǎng)絡(luò)上,采用訪問控制和數(shù)據(jù)加密技術(shù),可以將兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)進(jìn)行互聯(lián)[2]。
2.2數(shù)據(jù)庫技術(shù)
為提前防范電力網(wǎng)信息出現(xiàn)被盜、丟失等異常,運(yùn)用數(shù)據(jù)庫技術(shù)通過數(shù)據(jù)備份的方式保存原資料,可以保證信息的安全。電力企業(yè)應(yīng)創(chuàng)建數(shù)據(jù)備份中心,選擇高品質(zhì)的數(shù)據(jù)恢復(fù)技術(shù),如遇到信息數(shù)據(jù)受損,可以進(jìn)行提前修復(fù)補(bǔ)充,以保證信息系統(tǒng)的正常運(yùn)行。
2.3防火墻技術(shù)
防火墻屬于訪問控制產(chǎn)品,它能夠隔離開信任網(wǎng)絡(luò)和不信任網(wǎng)絡(luò),在內(nèi)部網(wǎng)絡(luò)與外部不安全的網(wǎng)絡(luò)之間設(shè)置障礙,對外界異常信息進(jìn)行過濾控制,阻止來自外界的非法訪問。能夠有效的阻止黑客的攻擊,實(shí)現(xiàn)對數(shù)據(jù)流的監(jiān)控。如防火墻中的強(qiáng)制實(shí)糟,能避免企業(yè)信息遭受非法攻擊或存取。
2.4病毒防護(hù)技術(shù)
電力信息網(wǎng)絡(luò)系統(tǒng)所遭受的最大病害是病毒,它對各類信息的安全具有較大的破壞力。要解決好這個(gè)問題,應(yīng)通過防毒、殺毒的等方式進(jìn)行處理,營造穩(wěn)定的信息系統(tǒng)運(yùn)行的環(huán)境。可以在電力企業(yè)的服務(wù)器上安裝防病毒軟件,在每臺PC機(jī)上安裝防病毒軟件。
2.5安全審核技術(shù)
安全審核技術(shù)的作用是審核系統(tǒng)上流通的數(shù)據(jù)信息,及時(shí)將在異常的數(shù)據(jù)信息攔截,避免其給網(wǎng)絡(luò)系統(tǒng)造成干擾,有效的保護(hù)信息系統(tǒng)的安全[3]。
3.加強(qiáng)安全制度管理
電力企業(yè)的網(wǎng)絡(luò)安全管理中,技術(shù)僅僅是一部分,經(jīng)營者還應(yīng)加強(qiáng)管理決策的改革創(chuàng)新,制定出科學(xué)的管理規(guī)劃和制度。日常管理中,應(yīng)從以下方面加強(qiáng)管理:
3.1強(qiáng)化安全意識
安全意識涉及到領(lǐng)導(dǎo)者和網(wǎng)絡(luò)系統(tǒng)運(yùn)用管理的每個(gè)人。電力企業(yè)的經(jīng)營者應(yīng)將安全意識放在首位,從安全角度出發(fā),制定現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的安全管理策略,避免來自外在的破壞因素干擾或危害網(wǎng)絡(luò)系統(tǒng)。企業(yè)的員工要不斷的培養(yǎng)自己的安全意識,堅(jiān)持以安全為原則進(jìn)行系統(tǒng)操作,把握好每個(gè)步驟。
3.2及時(shí)進(jìn)行故障處理
網(wǎng)絡(luò)信息系統(tǒng)發(fā)生故障在所難免,當(dāng)出現(xiàn)故障時(shí),應(yīng)及時(shí)、盡快組織技術(shù)人員進(jìn)行處理,盡早解決故障給系統(tǒng)造成的不良影響。
3.3規(guī)劃管理制度
網(wǎng)絡(luò)完全管理制度的嚴(yán)格執(zhí)行可實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的有序操作,讓系統(tǒng)的每個(gè)環(huán)節(jié)都能安全可靠的運(yùn)行。電力企業(yè)應(yīng)制定網(wǎng)絡(luò)系統(tǒng)安全管理的制度,對計(jì)算機(jī)操作人員進(jìn)行專業(yè)考核、加強(qiáng)設(shè)備的管理等,有效預(yù)防并避免意外故障的發(fā)生。
4.小結(jié)
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在電力企業(yè)的運(yùn)用深刻而廣泛,存在各種各樣的安全威脅。電力企業(yè)必須加強(qiáng)安全技術(shù)的管理和應(yīng)用,確保信息系統(tǒng)的安全運(yùn)行,為企業(yè)的安全生產(chǎn)提供有力的保證。
參考文獻(xiàn):
[1]趙慧巖.對計(jì)算機(jī)網(wǎng)絡(luò)信息安全建設(shè)的探究[J].中國電子商務(wù),2010(1):54.
