发布时间:2023-10-09 17:40:33
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇企业信息安全管控,期待它们能激发您的灵感。
信息安全准则是风险评估和制定最优解决方案的关键,优秀的信息安全准则包括:根据企业业务目标执行风险管理;有组织的确定员工角色和责任;对用户和数据实行最小化权限管理;在应用和系统的计划和开发过程中就考虑安全防护的问题;在应用中实施逐层防护;建立高度集成的安全防护框架;将监控、审计和快速反应结合为一体。良好信息安全准则可以让企业内外部用户了解企业信息安全理念,从而让企业信息管理部门更好地对风险进行管控。
2企业信息安全管理的主要手段
2.1网络安全
(1)保证安全的外部人员连接。在日常工作中,外部合作伙伴经常会提出联入企业内网的需求,由于这些联入内网的外部人员及其终端并不符合企业的信息安全标准,因此存在信息安全隐患。控制此类风险的手段主要有:对用户账户使用硬件KEY等强验证手段;全面管控外部单位的网络接入等。
(2)远程接入控制。随着VPN技术的不断发展,远程接入的风险已降低到企业的可控范围,而近年来移动办公的兴起更是推动了远程接入技术的发展。企业采用USBKEY,动态口令牌等硬件认证方式的远程接入要更加的安全。
(3)网络划分。在过去,企业内部以开放式的网络为主。随着网络和互联网信息技术的成熟,非受控终端给企业内网带来的安全压力越来越大。这些不受信任的终端为攻击者提供了访问企业网络的路径。信息管理部门可以利用IPSec技术有效提高企业网络安全,实现对位于公司防火墙内部终端的完全管控。
(4)网络入侵检测系统。网络入侵检测系统作为防火墙的补充,主要用于监控网络传输,在检测到可疑传输行为时报警。作为企业信息安全架构的必备设备,入侵检测系统能有效防控企业外部的恶意攻击行为,随着信息技术的发展,各大安全厂商如赛门铁克,思科等均研发出来成熟的入侵检测系统产品。
(5)无线网络安全。无线网络现在已遍布企业的办公区域,给企业和用户带来便利的同时也存在信息安全的隐患。要保证企业内部无线网络的安全,信息管理部门需要使用更新更安全的协议(如无线保护接入WPA或WPA2);使用VLAN划分和域提供互相隔离的无线网络;利用802.1x和EAP技术加强对无线网络的访问控制。
2.2访问控制
(1)密码策略。高强度的密码需要几年时间来破解,而脆弱的密码在一分钟内就可以被破解。提高企业用户的密码强度是访问控制的必要手段。为避免弱密码可能对公司造成的危害,企业必须制定密码策略并利用技术手段保证执行。
(2)用户权限管理。企业的员工从进入公司到离职是一个完整的生命周期,要便捷有效地在这个生命周期中对员工的权限进行管理,需要企业具有完善的身份管理平台,从而实现授权流程的自动化,并实现企业内应用的单点登陆。
(3)公钥系统。公钥系统是访问控制乃至信息安全架构的核心模块,无线网络访问授权,VPN接入,文件加密系统等均可以通过公钥系统提升安全水平,因此企业应当部署PKI/CA系统。
2.3监控与审计
(1)病毒扫描与补丁管理。企业需要统一的防病毒系统和终端管理系统,在终端定期更新病毒定义,进行病毒自扫描,自动更新操作系统补丁,以减少桌面终端的安全风险。此类管控手段通常需要在用户的终端上安装客户端,或对终端进行定制,在终端接入企业内网时,终端管理系统会在隔离区域对该终端进行综合评估打分,通过评估后方能接入内网。才能保证系统的安全策略被有效执行。
(2)恶意软件防控。主流的恶意软件防控体系主要由五部分构成:防病毒系统;内容过滤网关;邮件过滤网关;恶意网页过滤网关和入侵检测软件。
(3)安全事件记录和审计。企业应当配置日志审计系统,收集信息安全事件,产生审计记录,根据记录进行安全事件分析,并采取相应的处理措施。
2.4培训与宣传提高企业管理层和员工的信息安全意识,是信息安全管理工作的基础。了解信息安全的必要性,管理层才会支持信息安全管理建设,用户才会配合信息管理部门工作。利用定期培训,宣传海报,邮件等方式定期反复对企业用户进行信息安全培训和宣传,能有效提高企业信息安全管理水平。
3总结
【关键词】电力企业;信息安全;桌面管控技术
引言
随着信息技术的发展,信息系统的深入应用,信息安全成为国家电力企业信息化的重要工作内容。由于桌面终端和用户的数量多,从而容易带来信息安全隐患,致使信息管理部门难以开展工作。近几年,多数电力企业制定了对桌面的管理制度,统一了桌面终端管理系统。但是,如何将管理制度落实到实际工作中并将现有的技术应用到桌面信息安全管理,还需要不断的深入研究与实践。
1桌面终端信息安全管理现状
近几年,我国电力企业提出了信息安全的八不准和五禁止,由于电力企业提出上述措施,有利于各企业桌面终端系统信息安全工作的顺利开展,大力推广了桌面终端管理系统的应用,对非法接入外网实施了有效的监控,提升了对移动储存介质的管理。但根据桌面终端管理系统的相关数据显示,还没有达到对信息安全的要求,仍然存在很多问题,致使信息管理部门的工作难以开展[1]。因此必须要立足于桌面管控技术全面的提升电力企业信息安全水平,从而有效的保障电力企业的信息安全。
2桌面终端存在的问题
目前,桌面终端主要存在以下几个方面的问题:①接入外网时计算机感染病毒,特别是由于移动储存介质最容易感染,而且传播的速度极快;②部分员工利用电子邮件办公时,电子邮件里会出现一些敏感字体;③非法接入外网现象始终存在,桌面终端的口令设置较弱;④桌面终端补丁更新率、桌面终端注册率和杀毒软件安装率较低,没有达到企业的标准。致使以上问题出现的原因有:①对信息安全的管理力度不够,没有将其归入对信息管理部门工作人员的考核中,没有将现有的桌面管控技术手段深入应用;②对信息安全管理的要求较为分散,没有统一的管理标准,虽然通过各种方式开展宣传,但是仅对信息管理部门的工作人员有用,其他部门员工对信息安全的认知度不够[2];③部分员工信息安全意识淡薄,没有将信息安全管理的要求落实到实际工作中,认为信息安全可有可无,存在无所谓的心理。
3桌面管理及提升技术的措施
3.1桌面管理措施
3.1.1计算机安装流程标准化电力企业中,所有新购买的计算机统一由信息管理部门安装杀毒软件和操作系统。修补系统中存在的漏洞,注册桌面系统的新端口,初始开机口令的设置要符合国家统一的标准。只有完成以上流程,才能下发给网络用户并接入网络,严格把控好信息设备的安全性,从根源上消除桌面信息安全隐患。3.1.2完善管理制度企业应制定统一的管理制度,落实好信息管理部门的工作内容,其工作内容包括:信息设备的损坏修理、安装、领用、验收及信息的来源。由于笔记本计算机容易感染其他网络端口的病毒,出现重装系统的问题,致使管理人员不易管理,对此不允许接入其他网络,从制度的根本上确保企业内所有的联网端口都是由信息管理部门负责。除此之外,统一订购带有企业标志的移动储存介质,工作人员在领用时必须签字,待离职时交还信息管理部门。3.1.3提高工作人员信息安全意识由于工作人员的信息安全意识淡薄,不了解企业对信息安全的要求,还没有掌握信息安全的技术,这些都成为信息潜在的安全隐患,对此,加大对员工信息安全意识的培训力度显得至关重要。工作人员的信息安全意识应从第一天入职的时候就加以重视,培训人员要全方面的开展对新入职员工的培训,包括:技术手段、管理制度、信息安全意识、对信息保密等。培训之后,可以实施对信息安全有关知识和技术手段的考核[3]。除此之外,给员工配备计算机时,要给员工讲解使用的要求及注意事项,且让其签字。通过信息安全培训,使工作人员掌握桌面管控的相关知识和信息安全知识,提高了工作人员的信息安全技术水平和职业素养及其安全意识,给信息安全提供了强有力的技术支撑。3.1.4强化外网终端接入流程管理各地区电力企业的外网桌面终端接入要严格遵守内网终端接入的标准流程,电力企业外网终端接入需要由企业管理人员向协同办公系统签报流程提报申请,经外网管理部门领导审批后转发信通分公司,再由企业的网控室调整终端准入账号、分配IP地址,并根据各企业的具体情况派发终端,由运维人员将符合入网条件的外网终端入网并进行安装调试,再由网控室进行检查,确定是否达到入网的标准,如果没有达到标准要及时修改,值班人员需进行回访,将工作单及时归档[4]。具体的申请流程详见图1。
3.2提升桌面管理技术的措施
3.2.1定期检查、维护信息安全使用扫描设备对企业整个网络系统进行扫描,对出现的问题及漏洞及时解决,一旦发现有桌面终端不符合基线要求,可以通过北信源程序下发符合基线要求的方法,保证桌面终端达到基线的要求。信息管理部门的工作人员要定期检查桌面终端及控制系统的各项数据,出现异常要及时解决,逐步提升信息安全水平。3.2.2加固桌面终端由信息管理部门统一分配终端,完成对使用软件和操作系统的安装,并对桌面终端进行加固。接入网络时,严格按照企业制定的桌面管理系统和准入要求执行,安装必要的杀毒软件及办公软件。对于没有注册和没有安装杀毒软件的设备采取强制下线措施,对带有敏感字的文档给予提醒,以此保证杀毒软件的安装率和桌面终端的注册率。内、外网的桌面终端在接入后,需由信息管理部门工作人员绑定接入交换机,将没有使用到的端口关闭,预防其他用户非法侵入[5]。3.2.3使用桌面终端系统的监控功能除了可以使用桌面终端管理系统的非法接入外网、警告口令设置低、杀毒软件的安装率和桌面终端的注册率之外,该系统中还有控制的功能,可以通过控制功能,杜绝桌面终端用户的不安全行为。例如通过硬件资源管理中的控制系统,在特定的区域内禁止使用蓝牙设备与红外线设备。有利于防范终端用户使用信息内网接连计算机,有效解决了违规接入外网。3.2.4使用北信源系统在北信源系统(见图2)中可以采用硬件设备控制,通过设备控制禁止使用蓝牙设备和红外线设备;采用进程监控功能,防止无线网卡设备的侵入;设置防火墙,只允许桌面终端访问企业内部网址;将IP与MAC绑定,严禁使用用冗余网卡,防止修改IP与网关,以防发生违规外联事件;实施文件动态监控、文件内容检查和终端检查,确保敏感信息检查执行率及保密检测系统安装率指标水平。
4结语
21世纪以来,传统的桌面终端管理模式已经无法适应社会的需求,不能安全有效地管控桌面终端。通过企业制定的桌面管理制度和桌面终端管理系统,提升了桌面管控技术,使桌面终端的工作流程规范化,在提升信息安全的同时,也提高了工作人员的桌面安全管理意识。在电力企业中采用桌面管控技术来提升信息安全,还需要不断地实践与探索,只有坚持不懈,才能使企业保持信息安全,走可持续发展道路。
参考文献:
[1]姚玮.电力企业信息安全全生命周期管控[J].电力信息与通信技术,2015(08).
[2]马之力,张驯,崔阿军,袁晖.电网企业网络准入体系设计与应用[J].电力信息与通信技术,2015(05).
[3]陶明峰,刘志刚,徐胜朋,邢艺欣,袭建学.市县级电力公司网络一体化管理设计与研究[J].电力信息与通信技术,2015(05).
[4]吴石松,刘晔.电力企业桌面终端安全管理应用研究[J].现代计算机(专业版),2013(36).
关键词:企业内部控制;信息化;安全管理
随着信息化技术的发展,企业信息化工具扩展度越来越高,扩展面越来越广,大大提升了企业运营及管理的便捷性,企业依赖系统大数据的信息处理和分析来提升效率,信息化技术应用为企业创造了不可替代的价值。企业财务系统、资源管理系统、办公系统等形成企业信息化综合平台,随着信息数据的大量输入、输出、交换、应用,信息处理的便捷使企业信息化安全工作越来越重要。任何信息安全方面缺失或弱化都可能造成工作的中止、信息的丢失或泄露,使企业产生影响或经济损失,以信息化平台为重要工作工具的单位,影响更加重大。4G时代的到来,为企业信息走向移动化铺好了平台,也为企业信息安全管理提出了新一步要求。
我国的《企业内部控制基本规范》中提到信息化安全管理问题,该规范第四十一条指出:“企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。”所以信息化安全管理应为现代企业内部控制管理重要内容,如何优化信息化管理,提升信息化安全,成为需要思考的问题。
一、信息化安全管理分析
企业信息化安全管理包括物理安全管理、网络安全管理、系统安全管理、应用安全管理等,内部控制的实施有助于预防信息化管理下企业信息数据尤其是财务数据丢失的风险,降低借助信息系统舞弊的可能性,保证企业各项经营活动有效运行。企业应通过企业信息化安全工作分析,定期进行信息化安全工作检查,落实信息化安全内部控制管理。
(一)物理安全内部控制管理
1.硬件安全
信息化处理以电脑、服务器、存储设备、网络设备、安全设备作为硬件设备,电脑等信息终端设备不完善或故障会影响办公;服务设备如服务器、存储设备的损坏,会直接造成数据的丢失和数据处理的中断;网络设备如路由器、交换机的损坏,会让系统停止。没有安全设备或安全设备不工作会让系统受外界所攻击或盗取重要信息。企业信息化安全管理应对硬件安全有应急预案,增加必要的备用设备,如服务器、路由器、交换机等,设备一旦损坏,备用设备马上进入工作状态,使业务不中止或恢复时间短。设备应支持双路电源供电,对于有可能的停电,企业应准备和启用备用电源。
2.信息设备环境安全
环境安全包含防火、防盗、温度、湿度、洁净度等环境安全,只有安全的信息设备环境才能保障信息设备正常、高效工作,防范设备灭失或信息损失。对于一个大型或中型企业应专门建设符合上述环境要素的机房,服务器等设备应放在机房,因机器不间断运转造成温度较高,应配备精密空调等制冷设备,确保温湿度得到精确控制,服务器的放置空间要合理,保持空气的流通并符合设备散热需求。机房配置消防报警装置、气体灭火装置,以应对突发火灾事件。机房重地应有门禁管理,确保防盗和人为破坏的发生,信息化管理人员应就机房建设及日常管理进行检查。
另外移动办公设备(笔记本电脑、平板电脑、手机)的广泛使用使设备不安全性增加,云技术、云方案不断推新应用,使移动办公增加,企业应对于移动办公设备丢失制订预案,对重要移动设备做防盗防丢失部署,以使设备被盗或丢失时由信息管理员实施远程锁定,阻止非法入侵或直接销毁设备中的数据。
3.数据安全
数据的安全分为数据保护、数据保密和数据恢复。存储设备是数据的载体,也是实施信息化企业的生命,数据丢失可以是致命的,一个安全稳定的存储设备对数据保护至关重要。重要数据应以加密存储,存储介质废弃时的完全抹除是数据保密应注意事项,可使用硬件自加密硬盘简化数据保密过程。而存储备份和恢复方案的实施是数据安全的最后一道防线,可以在事件发生后数据得以恢复。企业应及时做好数据备份、异地备份,防范火灾、地震等不可预知事项带来的数据灭失。企业应做出数据恢复预案并进行演习以应对可能的数据安全事故。
(二)网络安全与信息传输安全内部控制管理
网络提供了便捷的信息传递、快速的信息查询,实现多人多组织的便捷工作,但也带来网络风险。企业首先应做好网络访问控制,最主要的措施是建立有效的防火墙,应检查企业网络设备是否安装了有效的防火墙,防火墙的版本是否能及时最新,是否安排专门人员定期通过收集分析网络行为、安全日志等进行入侵检测,检查访问控制权限审批授予是否得当,是否对不适当的人做访问权限的撤销管理。
终端用户操作不当,如违规安装软件或互联网资讯点击可能使病毒侵入网络,故企业防止内部局域网风险,需规范终端用户操作,对网上下载文件有必要要求及管理。针对承载保密信息的电脑,企业应专机专用并禁止与外网进行连接。对于有特殊安全需求的部门可部署桌面云方案,将数据和操作安全策略放置到服务器上统一管理。企业可通过部署网络防病毒软件并实时更新保证各终端使用相同的安全策略,避免个体不正确的安全习惯,保证定期进行病毒和恶意软件的查杀和清除,保障系统不因病毒侵入而崩溃,是信息化安全内控管理的有效手段。
运营商的线路故障,可能造成整个网络信息沟通中断,虽然几率较少,但对于以信息化工具为重要手段的单位影响会很大;为防止外部网络中断,检查评估是否需要选择两家运营商,保证信息传输的正常。
(三)系统安全内部控制管理
软件是信息化实现的载体,所有信息都是基于软件进行输入、输出、运算、分析和应用的。
软件安全成为一个越来越不容忽视的问题,软件漏洞会造成信息丢失、信息泄露。软件病毒会造成系统崩溃、信息错误。提升软件安全性,是企业信息化建设的重要环节。
企业的软件安全管理应检查是否使用可靠的系统操作平台软件,比如:Windows、Linux;是否安装有效的防病毒软件并及时更新,比如:卡巴斯基、诺顿等;是否选择安全保障高的信息化应用系统软件,比如:SAP、Oracle、金蝶、用友软件等;信息化软件是否有稳定后期保障服务。完善的软件是信息化数据安全和信息化功能应用的保证。
(四)应用安全内部控制管理
1.系统平台应用内部控制管理
企业信息化最主要应用是使用系统平成会计信息自动化处理与分析、实现业务流程记录与信息传递。企业应做到信息化平台统筹规划,使财务信息化和业务流程信息化充分结合,提高信息处理效率及信息管控力度,将企业的管理思想有效置入信息化流程使信息化平台成为企业内部控制管理的有效工具和手段。
企业信息化系统平台应用工作包括系统上线实施建设和系统日常运维管理,都有内部控制风险点管理。系统上线实施建设为系统平台应用的基础,对企业信息化应用起到关键作用。对于信息化应用程度深的企业,若实施不成功会给企业带来经济损失乃至巨大风险,为内部控制管理重大风险点,应予以高度重视。企业应制定详细的工作计划及实施方案,优化系统流程,制定编码规则,项目经理应实施有效的进度管理以保证系统上线成功,系统上线后应对项目进行验收,对应用中发现问题予以改善。系统日常运维管理(包括变更管理)是信息化有效稳定运行的保证,企业应制定管理制度进行规范化管理,信息化管理人员做好工作表单记录,通过检查表单记录评估信息化工作开展是否得当。
系统平台应用离不开系统流程与系统授权管理,只有信息化系统操作流程及权限设置合适,内部控制管理工作才能有效开展,风险得到即时控制。系统流程管理要求系统流程与企业管理流程文件相符;系统流程设置应合理有效,以企业增值及反应速度为原则,在实现内部控制基础上尽量做到流程简化,体现内部控制管理的全面性、重要性、制衡性、适应性和成本效益性。授权管理为企业内部控制管理关键点,如何做好系统授权?首先,授权人适岗,要求系统授权人或批准人对公司流程掌握,对内部控制管理有清醒的认识,对不相容岗位分离有清楚的把握,保证授权批准人与执行人分离,业务执行人与审核人分离,执行人和记录人分离,物资保管人与记录人分离,执行业务人与物资保管人分离;其次,配备必要的授权审核人员,授权审核人员可以是企业内控管理人员也可以是企业制度制订及管理人员,在系统流程制订时对授权设置进行审核,定期开展授权审计,以发现授权中问题,及时更正;再次,授权管理包括授权工作也包括撤销授权工作,需及时做好离职离岗人员系统权限调整,以保证系统操作人权限适合。
鉴于系统平台将企业信息做了大规模的集中,信息泄露的风险加大,所以对于系统数据、信息引出(下载)的权限管理应高度重视,尤其是关键数据及信息引出,避免信息批量式流出或关键信息被不适合人使用,给企业带来灾难性损失或技术成果和管理成果被他人窃取。
2.密码内部控制管理
服务器、电脑、平台系统进入都需要密码管理,企业应要求操作人员有效设置密码,不得将密码告知他人,定期更换密码,企业应检查企业员工外出离岗时有无告知他人密码协助处理流程的行为。随着技术进步,企业可通过技术手段实施密码管理。
3.电子邮件和即时交流工具安全管理
信息传输的便捷性使信息化风险加大,信息传输风险包括重要信息流出后不受控制及内部数据信息通过电子邮件、QQ等即时通讯工具方式泄露,企业应评估重要岗位、重要文档信息流出的风险度,必要时使用信息安全软件管理,进行重要文档加密或对特定区域信息加密管理;通过网络行为管理软件跟踪敏感文件和信息的泄露,使企业信息安全得到控制。对于即时通讯系统如QQ等可能带来的病毒和入侵风险,企业可根据信息化管理的重要程度确定是否部署内部专用即时通讯系统予以防范。
(五)随着信息技术的不断发展与进步,各种云平台服务推出,服务提供商可以提供专业的机房、服务器、存储、网络、信息化平台等供企业租用,企业只需付一定的服务费,为企业解决大部分信息化安全问题。使用云平台服务要做好服务商的选择,对于关键信息和数据采用做好方案选择。
二、结语
关键词 网络安全;互联网;风险
中图分类号:TP3 文献标识码:A 文章编号:1671-7597(2014)21-0241-01
计算机技术和网络技术在带给人们方便的同时,也使网络信息安全风险也大大增加。网络信息安全已成为当今社会互联网技术研究的重要难题。针对网络攻击行为,采用多种网络信息安全技术进行防护,可以有效的减少攻击行为所带来的损失。
1 网络安全隐患
网络安全,不仅指网络的信息系统安全,还包括网络系统中的硬件、软件及数据资源不遭受破坏、泄漏和更改,保证网络系统的安全可靠运行,防止各种有害信息和非法信息的传播。
企业网络的安全隐患主要表现在以下几个方面。
1)物理安全风险。物理安全包括网络系统中的各种网络硬件设备,如路由器、交换机、工作站和服务器等的通信链路的运行安全。物理安全风险主要有:火灾、雷击、水灾等自然灾害,外界电磁干扰,人为误操作或者破坏,设备自身的缺陷或者弱点等。
2)网络安全风险。网络是一个开放性的平台,企业的信息网络安全受到各种威胁和攻击。网络入侵者能够通过系统漏洞及各种扫描工具,以攻击程序对网络进行恶意的攻击,导致企业网络瘫痪,甚至是网络信息被篡改、窃取。
3)系统安全风险。企业网络设备主要为服务器系统、路由器交换机系统。在企业服务器系统中,设有数据库系统、操作系统、其他应用系统等。这些系统必然或多或少地存在着一些漏洞,一旦攻击者通过这些漏洞,可能会对系统造成很大的损失。
4)用户安全风险。这种风险主要是针对企业的内部人员,防止内部人员对系统和网络的误用、攻击等情况。如内部人员计算机感染了恶意软件或木马程序时,可能会造成内网的ARP攻击。
2 提高企业信息网络安全措施
2.1 网络安全解决办法
提高网络安全,是为了保证网络系统不受外来攻击和内在的故障,安全稳定的运行。而防火墙是网络系统安全的第一道门槛,通过硬件和软件来实现网络的安全。防火墙的主要性能包括:
1)对内外部网络数据流进行控制。网络防火墙是链接内部网络和外部网络的通道,防火墙的特殊网络位置特征,决定了可以有效的保护内部网络不被破坏和攻击。
2)防火墙可以有效的过滤网络数据流量。通过防火墙的数据流量必须是经过防火墙认定,符合一定安全策略的才能通过,只有在该前提下,在适当的协议层才能进行访问规则和通过安全审查,对于那些不符合通过条件的报文予以阻断。
3)应用层防火墙具备更细致的防护能力。传统防火墙由于不具备区分端口和应用的能力,以至于传统防火墙仅仅只能防御传统的攻击,基于应用层的攻击则毫无办法。而新一代的防火墙解决了这个问题,它具备应用层分析的能力,能够基于不同的应用特征,实现应用层的攻击过滤,更好的针对应用层攻击进行防护。
2.2 系统安全解决办法
1)操作系统安全措施。操作系统的安全措施主要包括以下内容:①在局域网内建立WSUS补丁服务器,为整个局域网提供微软全系列软件的补丁。②操作系统及其各种应用软件及时更新补丁,有效防止黑客的攻击和病毒的感染。
2)系统漏洞扫描。目前的网络和系统配置往往存在部分漏洞,这些漏洞容易被黑客利用,使系统的安全存在隐患。因此,提前发现漏洞并进行处理,可以减少系统安全威胁,避免不必要的损失。漏洞扫描和检测工具可以对网络设备和操作系统进行扫描,对系统中存在的漏洞生成检查报告,并提示用户及时安装相应的漏洞补丁,以提高系统安全性。
3)网络入侵检测及预警。为了提高信息安全基础结构完整性,使用入侵检测及预警系统是防火墙的有益补充,进一步提高了系统面对网络攻击的安全性,使系统管理员更方便的对系统安全进行管理。
4)病毒防护。计算机病毒对系统和网络安全的威胁越来越引起人们的重视,而针对计算机病毒的防护和扫描是系统安全必不可少的。计算机病毒的防治在于完善操作系统和应用软件的安全机制和防范措施。使用高性能网络杀毒软件不仅能针对流行病毒进行查杀,阻断病毒的蔓延,而且还能实现实时监控和预防,避免计算机染上病毒。
5)网络审计与监控。网络审计和监控不仅依靠网管软件和系统管理软件来实现,还应采用目前较成熟的网络监测设备和实时入侵监测,对系统中的网络行为进行监控、预警和阻断,及时预防网络入侵行为和采取相应的措施。
6)数据备份与恢复。对于数据的备份和恢复应采用高速、大容量、自动的数据备份恢复。对于部分系统的备份,可以采取增量备份,只针对系统发生过更改的部分文件进行备份。
2.3 应用级安全解决办法
1)用户授权管理。实现了多级分权的权限划分机制,不同的部门只能在允许的范围内对数据进行操作,而对于管理部门,则可以跨部门或者全部操作。其次是功能权限,可以自定义的方式确定用户的增加、删除、修改、查询权限。
2)数据安全备份。数据安全是整个系统安全的核心,是系统可靠性的体现和关键环节。为此,系统中可自定义备份策略,实现定期自动备份,也可手动备份手动恢复。
3)数据加密。应对关键数据采用了完善的数据加密措施,如登录帐号和密码。作为最重要的身份识别依据和权限开关,其安全性的重要程度在应属于最高级。软件的关键配置文档,里面有关键的参数设置,也应进行了相应的加密处理,保证的系统的稳定性。
4)操作日志。对于系统的登陆和操作情况应进行自动记录,并形成报告和日志,进行痕迹保留,对操作方式,操作内容,操作时间等都可以进行记录。
3 结论
在计算机网络技术的发展过程中,企业的信息网络安全技术水平也不断提高。随着企业的发展和业务的拓展,网络安全受到极大的挑战,黑客攻击、病毒入侵、非法访问等不断发生。因此,从企业网络信息安全需求及等级情况出发,选择适合企业自身需求的企业网络信息安全措施,可以有效的保障企业信息网络的健康运行。
参考文献
[1]王能辉.我国计算机网络及信息安全存在的问题和对策[J].科技信息,2010(7).
企业经营信息对于企业来说是一种资源,对于企业自身来说具有重要意义,企业需要妥善管理自身企业的信息。近年来,企业的各项经营活动都逐渐开始通过计算机,网络开展,因此,企业的信息安全管理对于企业越来越重要。许多企业开始通过各种技术手段以及制度改革,把更多的注意力放在企业内部的信息安全管理工作,同时将企业信息安全管理与风险控制结合起来,这是一个正确的选择,能够帮助企业实现稳定经营。在介绍企业信息安全管理以及风险控制前必须厘清企业信息安全管理的概念与企业风险控制定义,因此,本节将着重介绍企业信息安全管理的概念以及企业风险控制的定义。
企业的信息安全管理包含十分丰富的内容,简单来说是指企业通过各种手段来保护企业硬件和软件,保护网络存储中的各种数据不受偶然因素的破坏或者恶意的原因被攻击。对于信息安全的认定通过包括4个指标,即保证信息数据的完整,保证信息数据不被泄露,保证信息数据能够正常使用,保证信息数据能够控制管理。要想做好企业的信息安全管理,首先需要了解的是关于信息的传输方式。随着信息技术的不断普及,信息传递的方式越来越多,常见的信息传递方式主要有互联网传播,局域网传播,硬件传播等等。要想实现企业的信息安全管理,其中很重要的一项工作在于保护信源、信号以及信息。信息安全管理是一项需要综合学科知识基础的工作,从事企业信息安全管理工作的人员通过需要具有网络安全技术、计算机技术、密码技术、通信技术。从企业的信息安全管理来讲,最为关键的一项工作时保护企业内部经营信息数据的完整。经过近十年来的企业信息安全管理工作经验总结,企业信息安全不仅仅需要信息技术的支持,更需要通过建立完善的企业风险控制体系来帮助企业实现更好地保护企业信息安全的目标。
所以,怎样把企业信息安全管理与风险控制融合起来就是摆在企业经营管理者面前的一道难题。企业的信息安全风险控制必须通过企业建立完善的企业信息安全风险体系实现。企业的信息安全风险控制是指企业在企业信息安全遭遇威胁之前,提前对企业的信息进行风险预估,并采取一系列的有针对性的活动降低企业面临的信息安全风险,从而尽可能减少因为企业本身信息安全管理中存在漏洞给企业带来不必要的损失。常见的企业信息安全风险体系建立主要包含以下几个方面的内容。第一,建立企业信息安全风险管理制度,明确企业信息安全管理的责任分配机制,明确企业各个部门对各自信息安全所应承担的责任,并建立相应的问责机制。第二,设置规范的企业信息安全风险管理指标,对企业存在的可能威胁企业信息安全管理的漏洞予以风险定级,方便企业管理者对不同的信息安全管理漏洞采取有区别的对策。第三,企业要加强对信息安全管理人员的培训,提高企业信息安全管理工作人员的风险意识,让企业内部从事信息安全管理工作人员认识到自身工作的重要性,让企业内部从事信息安全管理工作人员了解到规范自身行为,正确履行职责的重要性。第四,将企业信息安全管理与风险控制有效融合,重视企业信息安全管理工作,通过风险控制对企业内部信息安全的管理方式进行正确评估,找出现行的企业内部信息安全管理手段中存在容易忽视的地方。
二、企业信息安全管理与风险控制存在的不足
1.企业信息安全管理工作人员素质不高
对于企业来说,企业信息安全管理工作是一项极为重要而隐秘的工作,因此,必须增强对企业信息安全管理工作人员的素质要求。但是根据调查统计,目前很多企业对信息安全工作的管理仅仅停留在对企业信息安全管理工作人员的技术要求上,对企业信息安全管理工作人员的道德素养,职业素养,风险意识并没有严格要求。此外,绝大多数企业并没有意识开展对企业信息安全管理工作的道德素质的教育培训,并没有通过建立相关管理制度以及问责机制对企业信息安全管理工作人员实行监督,这无疑给别有用心或者立场不坚定的企业信息安全管理工作人员留下了危害企业信息安全的可乘之机。
2.企业信息安全管理技术不过关
企业信息安全管理工作涉及多许多技术,包括信息技术,计算机技术,密码技术,网络应用技术等等,应当说成熟的计算机应用技术是做好企业信息安全管理的基础,但是,现实是许多企业的信息安全管理技术并不过关,一方面企业的信息安全管理硬件并不过关,在物理层面对企业信息缺乏保护,另一方面,企业信息安全管理工作的专业技术没有及时更新,一些企业信息安全管理工作人员缺乏企业信息安全管理的实践经验,企业信息安全管理的知识也并没有及时更新,从而导致企业的信息安全管理理论严重滞后,这种技术的落后很容易让企业成为不法分子的攻击对象。近年来网络病毒的传播越来越猖狂,很多服务器、系统提示安全补丁的下载更新以及客户端的时常更新成为一个恼人的问题。作为一个行业中的大中型企业,企业内部设备数量比较多,尤其是客户端数量占了较大比重,仅仅靠少数几个管理员进行管理是难以承担如此大量的工作量。另外,企业信息安全管理系统不成熟也是一个重大的隐患。
3.企业信息安全管理制度不健全
企业信息安全管理制度不仅仅需要理论制度的完善,更加需要一系列配套监督机制保障企业信息安全管理的有效执行。通过调查分析,许多企业虽然建立了企业信息安全管理制度,但是通常情况下,这些制度只能流于形式,企业信息安全管理工作缺少有效的制约和监督,企业信息安全管理工作人员缺乏执行力。企业信息安全管理制度不健全,企业信息安全管理工作缺乏执行力常常体现在以下几个方面。第一,企业员工对于信息安全管理的认识严重不足,对企业信息安全管理工作不重视。企业内部计算机系统安全的计算机防病毒软件并没有及时更新,使用,甚至企业内部计算机的防病毒软件还被企业员工卸载了。部分企业员工认为自己的工作与企业信息安全管理不相关,认为做好企业信息安全管理工作仅仅是企业信息安全部门的事。第二,企业内部信息安全管理制度并没有形成联动机制,企业信息安全管理工作仅仅由企业信息安全部门“一人包干”,企业信息安全反映的问题并没有得到积极的反馈,一些企业领导对企业信息安全现状所了解的少之又少。
三、企业信息安全管理常见的技术手段
1.OSI安全体系结构
OSI概念化的安全体系结构是一个多层次的结构,它的设计初衷是面向客户的,提供给客户各种安全应用,安全应用必须依靠安全服务来实现,而安全服务又是由各种安全机制来保障的。所以,安全服务标志着一个安全系统的抗风险的能力,安全服务数量越多,系统就越安全。
2.P2DR模型
P2DR模型包含四个部分:响应、安全策略、检测、防护。安全策略是信息安全的重点,为安全管理提供管理途径和保障手段。因此,要想实施动态网络安全循环过程,必须制定一个企业的安全模式。在安全策略的指导下实施所有的检测、防护、响应,防护通常是通过采用一些传统的静态安全技术或者方法来突破的,比如有防火墙、访问控制、加密、认证等方法,检测是动态响应的判断依据,同时也是有力落实安全策略的实施工具,通过监视来自网络的入侵行为,可以检测出骚扰行为或错误程序导致的网络不安全因素;经过不断地监测网络和系统来发现新的隐患和弱点。在安全系统中,应急响应占有重要的地位,它是解决危险潜在性的最有效的办法。
3.HTP模型
HTP最为强调企业信息安全管理工作人员在整个系统中的价值。企业信息安全工作人员企业信息安全最为关键的参与者,企业信息安全工作人员直接主导企业信息安全管理工作,企业信息安全工作人员不仅仅是企业信息安全的保障者,也是企业信息安全管理的威胁者。因此,HTP模型最为强调对企业信息安全管理工作人员的管理与监督。另外,HTP模式同样是建立在企业信心安全体系,信息安全技术防范的基础上,HTP模式采取了丰富的安全技术手段确保企业的信息安全。最后,HTP强调动态管理,动态监督,对于企业信息安全管理工作始终保持高强度的监督与管理,在实际工作中,通过HTP模型的应用,找出HTP模型中的漏洞并不断完善。
四、完善企业信息安全管理与降低风险的建议
1.建设企业信息安全管理系统
(1)充分调查和分析企业的安全系统,建立一个全面合理的系统模型,安全系统被划分成各个子系统,明确实施步骤和功能摸块,将企业常规管理工作和安全管理联动协议相融合,实现信息安全监控的有效性和高效性。
(2)成立一个中央数据库,整合分布式数据库里的数据,把企业的所有数据上传到中央数据库,实现企业数据信息的集中管理与有效运用。
(3)设计优良的人机界面,通过对企业数据信息进行有效的运用,为企业管理阶层人员、各级领导及时提供各种信息,为企业领导的正确决策提供数据支持,根本上提高信息数据的管理水平。
(4)简化企业内部的信息传输通道,对应用程序和数据库进行程序化设计,加强对提高企业内部信息处理的规范性和准确性。
2.设计企业信息安全管理风险体系
(1)确定信息安全风险评估的目标
在企业信息安全管理风险体系的设计过程中,首要工作是设计企业信息安全风险评估的目标,只有明确了企业信息安全管理的目标,明确了企业信息安全管理的要求和工作能容,才能建立相关围绕信息安全风险控制为目标的信息安全管理工作制度,才能顺利通过对风险控制的结果的定量考核,检测企业信息安全管理的风险,定性定量地企业信息安全管理工作进行分析,找准企业信息安全管理的工作办法。
(2)确定信息安全风险评估的范围
不同企业对于风险的承受能力是有区别的,因此,对于不同的企业的特殊性应该采取不同的风险控制办法,其中,不同企业对于能够承受的信息安全风范围有所不同,企业的信息安全风险承受范围需要根据企业的实际能力来制定。不仅如此,企业的信息安全风险评估范围也应当根据企业的实际经营情况变化采取有针对性的办法。
关键词:电力企业;信息安全;管控平台;初步设计
中图分类号:TP31 文献标识码:A
随着我国社会经济不断地发展,人们的生活水平不断地提高,我国电力企业得到高速发展,为满足人们所提出的高要求,适应社会主义市场经济体制的发展,电力企业必须转变管理模式,采用现代化的管理手段,以寻求更好的发展。如今,计算机信息技术已被广泛应用于社会各个领域中,具有重要的作用。电力企业在发展过程中,其规模越来越大,信息化的应用也有所突破,但仍然存在问题。为使信息化技术在电力企业中得到高效的应用,保障电力企业的信息安全,则必须建设电力企业信息安全管控平台,以有效的控制电力企业的信息,充分发挥管控平台的功能。
一、创建电力企业信息安全管控平台的重要性
随着我国电力企业的蓬勃发展,其经营规模越来越大,在企业中充分利用信息技术,以使电力企业具有时代特点。近几年,计算机信息网络技术不断地改进和完善,逐渐成为我国社会生活生产中不可或缺的一部分,其在电力企业中的应用推动了电力企业的现代化发展,但与此同时其也为电力企业的信息安全带来了挑战。现阶段,电力企业的信息安全问题已成为其发展过程中的亟待解决的重要研究课题。在电力企业中,由于其各级别的单位难以解决网络分散性问题,无法有效地规避信息安全事件所带来的高风险。在电力企业管理中无法全面的掌握企业信息安全状况,缺少可靠的依据来开展风险评估工作,未能进行实时跟踪监督,导致其难以制定科学的安全预警方案。鉴于这种情况,电力企业必须加强内部控制管理,做好事前预防、事中控制和事后监督。为实现有效的电力企业现代管理,必须创建具有实用性的电力企业信息安全管控平台。这个平台能让电力企业实施可靠的安全监督,进行合理的安全预警工作,可促使电力企业做好风险评估工作,开展高效的监督工作,对企业信息进行统一管理,以建立完善的信息安全风险管理体系,从而提高电力企业信息安全管理水平。
二、电力企业信息安全管控平台的初步设计
1电力企业信息安全管控平台的设计原则
在设计电力企业信息安全管控平台时,要遵循以下原则:首先,所创建的信息安全管控平台必须满足电力企业发展的需求,要以现代电力企业的管理体制为依据来创建,以保障信息安全管控平台的可实行性;其次,电力企业信息安全管控平台的设计需要先进的技术措施和科学的管理方法来支持,因而设计前,必须慎重的选择技术和管理的实现方式;最后,电力企业所创建的信息安全管控平台,其自身必须具有一定的安全性,为平台在企业中的应用提供重要的保障。除此之外,在信息安全管控平台的设计过程中,要先了解平台工具的特殊性能,并以此为基础来设计与之配套的功能服务,例如数据初始化,以保障信息安全管控平台的顺利运行。
2根据不同的角色来设计管控平台
电力企业信息安全管控平台的建设,必须与其企业的组织结构相配合。在设计管控平台的时候,应该对不同角色的职能需求进行分析。对于上级信息安全主管单位,其所需要的是能全面掌握信息安全的动态,了解信息系统安全的状况,做好网络环境评估工作,主要功能是协调和监督;对于本地信息安全实施单位和主管单位,前者主要是设立安全运维人员等人来保障解本地信息安全,而后者则是全面了解企业信息安全状况并且进行有效的细条;对外部信息安全支持单位,其主要是负责对企业信息安全实施监督和控制,以做好应急工作;对于应急联动和专家机构,其职责在于为企业信息的安全提供技术保障。
3信息安全管控平台在电力企业中的实现
信息安全管控平台在电力企业中运行时,主要分为这几个模块:第一,基础安全数据管理模块,这一部分主要是的对企业信息系统中所产生的各类数据,如服务器的基本信息,安全配置知识库等数据资料进行整合和储存,具有查询和修改的功能;第二,预案管理模块,这一部分主要是用来对电力企业中的各级单位进行原的编制、和更新等。值得注意的是要为应急预案编制工作和审批制定统一的标准,加以规范。在预案管理部分,可充分利用工作流引擎来执行应急预案,以突出应急预案的作用和其有效性;第三,风险评估模块,在这一部分主要是为信息安全风险评估工作提供可靠的数据信息作为依据,以根据矩阵型风险计算方式计算出风险,并制定出相应措施;第四,业务影响分析模块,这一部分的功能与风险评估模块的职责差不多,也是响应急预案提供有效信息,但是其在此过程中还必须注意信息系统业务之间的不同之处;第五部分是公告管理模块,这一部分主要是提供浏览、查阅和管理等功能;第六。预警管理模块,由两个部分组成,一个是漏洞预警管理,另一个则是威胁预警管理,这两个部分的级别分别是高、中、低;第七,安全事件管理模块,这一部分是对信息安全事件进行处理;第八,信息安全状况监视模块,包括了宏观态势监视和应急监视。
结语
在电力企业中建立信息安全管控平台,是保障电力企业信息安全的重要途径,具有重要意义。电力企业信息安全管控平台的建设是为了加强电力企业信息化程度,必须科学的制定设计方案,使其符合现阶段电力企业的发展现状和电力企业的发展特点。在电力企业中运行信息安全管控平台,有利于及时发现信息安全中存在的问题,并加以解决,能确保企业信息的真实性、完整性和有效性。这种信息安全管控平台的创建有其必要性,对电力企业的发展起到重要的影响作用,必须予以高度重视。总而言之,对电力企业信息安全管控平台的研究具有重要的意义,而这一平台的运行则具有较高的使用价值。
参考文献
[1]樊凯.电力企业信息安全管控平台设计与实现[J].现代计算机:下半月版,2012(17) .
[2]李正忠.电力企业信息安全网络建设原则与实践[J].中国新通信,2013(9) .
a)IT技术应用程度的评价。通过IT技术的评价,可以得知信息技术在多大程度上支持管理系统的功能,更多得熟悉系统采用的技术先进性和可靠性,在用户体检界面和系统运维等方面也可以有更多了解。b)数据应用程度的评价。信息系统的运行要靠数据的开发和利用来支持,数据是信息系统的血液,对数据应用程度的评价,主要包括评估数据应用水平以及企业知识管理水平,主要通过数据的收集、加工、报表展示等方面进行评价。c)信息安全的评价。当前,利用相应的信息系统窃取、扰乱信息系统中的信息内容的恶意事件逐渐增多。2014年,国家成立网络语信息安全工作领导小组,从国家层面高度功重视信息安全问题,企业也同样面临着严峻的信息安全形势,因此,企业信息化安全的评价应当作为信息化建设评价的重要组成部分,引起足够的重视。d)人力资源的评价。系统需求方、系统开发商、系统运维团队、系统用户等都是信息化建设过程的重要参与者,是信息化建设和应用的主体。人力资源评价,应重点考察系统开发和运维人员的计算机软件设计开发能力,以及软件技术与应用需求的结合能力;其他人员应侧重于员工执行力的提高和员工参与信息化程度的评价。e)信息化组织和控制的评价。企业比如利用完善的制度体系、通过制定严格的信息化相关标准,颁布企业内部控制制度,保障信息建设过程管控以及信息系统的正常运行。该项工作主要评价信息化规划、组织与控制机制与企业日常管理的融合程度。f)效益的评价。信息化的本质是投资,投资必须要有产出。信息化的效益评价包括管理效益和经济效益两种。常见的如减少人工时、加速资金周转、降低库存等。通过效益评价,可以让管理层对信息化的资本投入有清晰的概念,也是通常信息化项目立项时的重点考虑因素。
2某企业信息化评价整改措施及效果
笔者所在企业,在近年开展以ERP为建设重点,覆盖全产业链的大规模信息化建设后,采取专项工作,对企业信息化水平进行全面的评价,内容涵盖信息技术水平、信息\数据资源利用、信息安全、信息化队伍建设、信息化组织和管控、信息化效益等主要方面。通过该项工作,笔者所在企业找到了制约其信息化建设发展和管理水平提升的严重问题,针对这些问题制定了如下具体改进措施:a)针对发现信息技术的问题,以公司发展战略为基础,一是统一规划了信息化建设蓝图,实施一个基础网络平台的网络拓扑改造、应用系统分层以及和一致的信息化管控体系,二是统一基础设施标准和规范,三是拓宽网络主链路、建设备份链路、保障通讯畅通。b)针对发现的信息资源问题,公司首先确立信息化愿景:一是建立健全信息共享平台,确保公司信息安全,支持公司战略目标的实现;二是确立“统一规划、统一管理、统一标准、统一建设”的四统一原则;三是确立“IT是技术的提供者、业务的支持者”的定位;四是加强信息化建设项目的立项论证和建设过程管控。c)针对发现的信息安全问题,公司首先建立信息安全管理制度和规范;其次,快速实施统一身份认证的准入控制系统,实施强制密码策略;第三,每年定期开展计网络安全大检查和培训;第四,每年对网络和信息系统进行安全测评和整改;第五,建设灾备中心。d)针对发现的人力资源问题,公司一是建立IT岗位序列,明确人员晋升标准;二是引进社会成品人才;三是组织技术交流、培训和认证;四是加强信息化专、兼职机构建设。e)针对发现的组织和控制问题,公司首先编制、颁布信息化规划;其次,理顺管理流程,明确以CIO制度为核心的信息化管理组织架构;第三,全面建立健全信息化内控制度体系。f)针对发现的经济效益评价问题,公司建立了信息化立项论证和评价体系,颁布信息化后评价办法和指标。对重点项目进行立项时的定量或定性效益评价,完工验收满一年后开展后评价。
IT服务外包井喷式发展
在强调企业核心竞争力的今天,越来越多的公司将IT服务外包作为企业长期战略成本管理的新兴工具。服务外包的实质是企业和服务商之间的“委托―”关系。企业需要对自己重新进行定位,截取价值链中较短的部分,缩小经营范围,在此基础上重新配置企业的各种资源,将资源集中到最能反映企业优势的领域,从而更好地构筑竞争优势,以此获得可持续发展的能力。
随着企业业务发展过程中信息系统所涉及的内容越来越多、结构越来越庞大,企业信息化再也不仅仅是IT部门自己的事情。企业市场竞争压力越来越大,在信息化建设和管理期间迎来了严峻的考验。一方面是IT部门人员少、系统多、任务重,另一方面是公司要求IT部门削减成本、并消除由于缺乏内部控制和运作准则导致的混乱状态,以更高效地服务业务部门。
在多重压力之下,许多企业认为IT部门最重要的工作是确保信息和流程的顺畅,而服务器、存储系统、网络或者交换机等设备并不是最重要。因此,许多企业倾向于将某些应用系统、基础设施和部分非核心系统外包给服务商负责维护。
IT服务外包的风险
企业借外部力量提供专业化服务、将部分非核心业务进行离岸资源外包的过程中,面临着管控、运营等一系列风险,其中最重要的是信息安全风险的威胁。
从表面上看,采用IT外包策略不但可以节约成本,还能提高效率。但事实上,许多企业对IT外包都有许多道不尽的爱恨情仇。外包是一柄双刃剑,其好处是可以向企业灌输技术与人才,帮助企业摆脱繁琐的IT业务――有效的外包能让公司更好的专注于核心业务。
但是进行IT外包并不是一件轻松的事情,如果处理不好,不仅不会带来预期的效益,反而会变成一场噩梦和致命的灾难。所以对于企业IT主管部门而言,必须具有很强的经验和管理技能,才能谈“外包” 二字。
IT外包服务要成为一种商品,就必须形成一套规范和标准,以约束买卖双方。但目前国内IT外包服务领域既无统一规范也无公认标准。概念模糊的用户,面对同样概念模糊的IT厂商,如何评估、签合同、质量控制和定价等都是潜在的“风险”。
此外,IT外包还面临着 IT管理的复杂性、软件缺失、知识产权以及IT外包服务提供商自身能否健康成长等风险。因此企业需要在风险、成本与效果、效率之间找到平衡点。
同时,由于委托方和方之间可能存在信息不对称和信息扭曲等问题,加之市场及宏观环境的不确定性,导致委托方在实施外包过程中承担着种种风险。
外包服务关键词:信息安全
企业在IT服务外包过程中面临的最大挑战,就是如何确保企业信息和数据的安全,如何建立起有效的信息安全管控框架,以符合企业信息安全要求。
首先,确认企业内部信息安全管控过程是否可持续监管和优化。在信息防泄漏的“战争”中,相比于躲在暗处的泄密者和安全威胁,站在明处的企业显然略失先机。但如果企业能够做到预先防御,在对手出招之前采取针对性的保护措施,就能从根本上“转被动为主动”,做好内部数据安全防护。
因此,良好的信息防泄体系的前提就是要时刻掌握企业动态,做到要有的放矢。很重要的一点是要实现内部操作的“可视化”,以随时监测整个信息系统的安全状况,做到迅速反应,甚至还能预测到潜在的风险,化被动防御为积极防御。
其次,企业信息安全体系设计需进行全局评估和建设,规避疏漏和风险。安全领域中的木桶理论和马其顿防线的故事相信大家都了解――无论怎么豪华的防线,一个漏洞就可以毁灭所有一切。在企业中,有时候可能是一个小小的系统漏洞就可能毁灭了几百万投资的努力,或者一个无意的非法补丁行为就让企业蒙受损失。
因此,在解决安全问题之时,不能仅仅依赖透明加密等技术手段,“头痛医头,脚痛医脚”地堆砌不同安全产品及封堵安全漏洞,而是需要站在一个更高的战略角度来通盘考虑。如果缺乏整体的分析视角,企业可能会忽视或者低估某个安全攻击的真正威胁,采取的安全措施也可能无法解决真正的问题。
所以,在实际的防泄漏建设中,必须从整体上来评估企业的信息安全状况,运用统一平台来进行风险和安全管理,检测出内部问题,从而描绘出整个企业当前安全情况的更清晰和更准确的图景,采取针对性的防护措施,最大限度降低企业的安全风险。
另外,要有安全和防护等级措施。企业在构建立体化、全方位的整体信息防泄体系时并不是一刀切,不分轻重地在全公司范围内采取相同的策略,这样虽然看似达到了最为安全的效果,但对业务造成的巨大影响,以及因此产生的高额成本,对企业来说,都是巨大的负担。
对信息安全来说,威胁和风险往往和高价值的信息资产联系在一起,安全保护工作也就应该轻重有别,将重点放在高价值的信息资产上。在安全建设过程中,对程度高的部门或岗位进行力度大的防御,对程度低的部门采取相应的安全防御。同时衡量提升安全性可能带来的业务操作上的麻烦、企业安全成本等问题,是企业必须要做的事情。
在企业实施安全防护等级风险评估过程中,往往需要结合企业的实际情况,对三种技术手段整合运用:首先,在全公司范围内进行安全审计,掌握企业操作,发现安全隐患;其次,对特殊岗位和部门,进行严格管控,限制信息的带出;最后,在核心部门内部,对机密信息进行透明加密。这样既可保证公司的正常业务运作,又能有的放矢地实现最优化的信息防泄漏管理,还大大节约了投资成本。
此外,利用科学可行的安全策略和必要的技术手段实现动态性防护。动态性的信息泄露防护,对于目前泄密方式日益增多的企业来说,非常重要。某些企业往往在安全事件发生之后才对现在的策略进行被动的调整。这种“吃一堑、长一智”的防护模式,对于企业而言,有可能是致命的。一旦出了安全事故,恐怕亡羊补牢,为时已晚。
企业需要建立一个动态性的安全防护,前瞻性地发现安全威胁,并通过对技术或管理上的策略进行及时调整更新,防范潜在的安全风险。
最后要强调的是,信息安全体系必须便于使用和维护。如今,市场上五花八门的信息防泄漏产品让企业眼花缭乱,企业期望这种“强强组合”能给企业套上万无一失的金钟罩。殊不知这种做法往往意味着企业必须付出较高的成本,并增加了技术的复杂性,还容易导致产品软件冲突等问题,企业虽然“装”了安全产品,但根本“用”不了。
目前,能够提供整体解决方案的单一安全产品可谓不错的选择,它能够帮助企业建立统一的安全管理平台,无论企业安全边界防护、还是内部使用,都做了整体全面的考虑,同时简化了日常的操作与管理、降低了系统的资源占用、避免了软件冲突等多种问题,使用维护亦非常方便,大大节约了IT人员的时间和精力。
综上所述,如企业信息防泄漏建设符合以上检测标准,说明该企业已经建立了一个完善的整体信息防泄漏体系,机密信息也得到了最大化的保护,实现了“成本、效率、安全”三者的最佳平衡,这也是近年来被大家认可的“整体信息防泄漏”理念的核心。
实际上,信息防泄本身就是一种博弈,是企业和人的博弈。它是一场思维的交锋,企业只有掌握了内部的行为操作,同时针对内部安全威胁建立全面、立体化的安全防护,信息防泄才会立于不败之地。
天玑外包信息安全管控体系
天玑科技提供的IT外包(IT Outsourcing)服务,即“承接企业IT系统维护与管理,按双方服务协议内容完成相关服务”的业务模式。
随着客户对信息安全管理的要求越来越高,天玑科技把IT外包的信息安全管理放在首位,积极贯彻基于风险的管理方法,针对IT服务外包中的安全管理进行了系统思考和有益的尝试。
外包基础和简单重复的服务:考虑到信息安全管理问题,天玑科技初期外包服务范围主要以基础服务外包为主,即将IT系统日常的硬件与软件维护、Helpdesk呼叫中心、信息系统的编码等活动外包,而对于IT系统的规划与管理、核心应用系统(如ERP、CRM)的设计与维护仍然由企业IT部门承担。这样避免了IT服务人员接触组织的核心系统信息,降低了IT服务外包对IT系统敏感部分带来的安全风险。
具备信息安全管理资质:由于IT外包服务过程中,IT服务人员必然会接触到企业的系统设备甚至是内容,如何成为一家可靠安全的IT服务外包供应商也是在进行IT服务外包前必须考虑的重要方面。天玑科技是一家已经建立起完善的信息安全管理体系,并通过了BSI安全认证审核的IT服务外包供应商,专门从事IT服务外,拥有很多有影响的大客户。天玑科技会根据服务内容签订责任明确的服务合同,在服务合同中详细阐明双方在服务提供过程中对信息安全的责任十分关键。
强化日常服务的安全管理:信息安全管理的要求应该体现在IT服务日常管理的各个方面,主要包括:日常活动规范的建立;服务变更控制;服务人员管理;安全事件处理;业务持续管理;知识产权保护和监控与审核等内容。
日常活动规范的建立:针对服务协议中明确的服务内容,建立规范的服务流程是开展IT服务活动的基础。企业信息化主管部门根据双方签订的服务协议,与供应商IT服务主管人员一起建立一套完整的服务规范。服务规范中对服务过程中的安全风险均采取了适当的控制措施,确保了服务活动满足企业信息安全管理策略的要求。
服务变更控制:天玑科技遵从在调整其服务流程和变更服务技术前必须事前进行沟通,在企业评估变更的影响并确认采取了响应控制措施后才能进行服务过程的变更。
服务人员管理:服务人员是IT服务活动的直接执行者。为确保服务人员能够满足要求,天玑科技明确规定了IT服务人员的能力要求和标准,确保只有技术能力强、认真负责的服务人员才能进入服务项目组。同时,对服务人员筛选、培训和变动也提出了具体要求。
安全事件管理:发生安全事件后,双方人员的协调和互动将直接影响对事件处理的结果。在服务过程中发生和发现的信息安全事件必须第一时间上报企业主管部门,在企业主管部门的组织下完成对安全事件的处理。
业务持续管理:由于企业将核心网络和系统硬件均托管给了IT服务供应商进行日常维护。IT服务供应商是否具备满足组织业务需求的业务持续管理能力,成为保证企业信息系统业务持续的关键。在企业整个业务持续管理的框架下,对IT服务供应商的业务持续管理能力提出了明确的要求,在服务协议中进行了明确的定义。同时,针对具体服务系统双方共同制定了相应的灾难恢复计划。
知识产权保护:桌面服务中如何保护组织以及相关方的知识智力产权,是需要在进行IT服务外包过程中管理和控制的重要内容。天玑科技在软件安装和服务过程中工具的使用过程都明确规定了对软件许可证的跟踪与管理要求,确保服务活动满足对知识产权保护的要求。
【关键词】电力企业信息安全管理;组织管理;失误因素
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。
【关键词】信息 安全 防护 漏洞
电力行业是国家能源行业的重要组成部分,近年来随着国家信息化建设的发展,电力行业的信息化建设也在不断深入和加强,各类管理信息系统不断上线,信息化在电力企业日常生产经营中作用日益突出,随着通用网络与信息技术在电力系统中的使用,病毒、网络攻击给电力生产带来了信息安全风险,笔者从事新疆电力行业技术监督多年,本文将主要针对发电企业信息安全现状,分析其防护薄弱环节,并有针对性提出解决措施。
1 信息安全现状
信息安全是多重因素共同作用的结果,包括人员水平、资金投入、设备部署、制度建设、日常测评及整改等多方面因素。
1.1 资金投入
信息安全投入力度不足,存在“重视信息化建设、轻视信息安全”的问题,未安排信息安全专项资金,导致对本单位信息安全风险及威胁不清楚。
1.2 人员水平
人员水平参差不齐,一是信息技术专业人员缺乏,或是信息人员水平不高,甚至未设置专门的信息安全岗位,致使不能有效应对本单位信息安全运维工作,二是发电企业员工安全意识淡薄,信息安全各项规章制度领会不到位,日常培训和学习力度不够。
1.3 安全设备
信息安全设备部署不到位,甚至在本单位网络边界未设置有效的安全防护设备(防火墙及IPS),或其中安全设置策略粒度不够,甚至未设置安全防护策略,导致安全防护机制形同虚设。
1.4 制度建设
制度建设严重滞后,部分单位基本信息安全管理制度缺失,并未从人员管控、设备操作、安全运维、日常管理等方面进行综合考虑,以上因素导致制度管控力度缺失。
1.5 日常测评
日常信息安全测评开展力度不足,未开展本单位信息安全风险评估,全面评析本单位存在的安全风险及威胁,并有针对性的整改,未开展信息安全等级保护相关工作,对信息系统等级备案、建设、测评、整改工作认识不足,导致本单位存在多出信息安全短板和隐患。
2 信息安全威胁
针对以上信息安全现状,为深入分析其信息安全风险,掌握电力企业面临的各类信息安全威胁,了解电力企业日常信息安全各类风险因素,便于各类安全风险进行总体把控,本节将结合实际分析其面临的各类信息安全风险。本文根据发电企业信息安全实际,判断识别出系统面临的主要威胁,识别出威胁由谁或什么事物引发以及威胁影响的资产是什么,即确定威胁的主体和客体。本文在前期调研的基础上,对搜集的发电企业信息系统安全事件的统计数据进行了深入分析,并通过管理问卷调查、安全顾问访谈等方式对信息系统相关信息人员进行了调查,最终获取了威胁发生的频率或概率的第一手数据,并对各种类型威胁发生的可能性进行了详细的分析。
表1分别对这些威胁及其可能发生的各种情形进行简单描述。
3 信息安全防护
3.1 网络边界防护
在本单位网络边界处部署防火墙及IPS,针对本单位进出网络实际,设置严格的安全防护策略,并细化到IP、端口级别,定期查看日常防护日志,不断优化调整细化安全策略,有条件的单位可在单位部署上网行为检测系统,对本单位员工网络行为进行有效监管,防止出现信息安全事件。
3.2 信息安全漏洞扫描
在本单位内网部署漏洞扫描系统,定期通过漏洞扫描检测目标网络或主机系统存在的安全漏洞,通过漏洞扫描,能够发现所维护的主机的各种端口的开放和分配、开放的服务,各类应用软件存在的安全漏洞,通过漏洞扫描及时发现系统在应用、服务、威胁及弱口令方面存在的漏洞,并根据网络资产的分布情况和存在的漏洞危害程度,制定有效的漏洞修补防范,消除本单位信息安全短板。
3.3 信息安全管控
采用部署桌面防病毒、网络准入、桌面管理系统等技术手段,强化木马病毒等安全防护措施,严格网络接入管理和用户访问控制,加强对防火墙、入侵检测等安全防护设施的集中监视和事件预警,同时加强对用户桌面终端的管理力度,实现个人终端补丁程序、病毒软件自动更新、升级。
3.4 信息安全评测及整改
定期开展信息安全风险评估工作,综合考虑本单位的信息安全风险和问题整改工作,根据行业主管部门确定的“统一定级、统一审批、分别备案”的要求部署,做好本单位管理信息系统、工控系统的定级及备案工作,组织开展信息安全等级保护测评工作,落实国家等级保护管理措施和技术措施的要求。
4 结语
信息系统作为电力行业生产经营的重要支撑,其面临的信息安全风险日益增加,信息安全作为电力生产自动化和管理信息化的重要保障,其基础性、全局性、全员性作用日益增强,必须加强电力信息系统安全防护工作,确保电力信息系统安全稳定运行。
参考文献
[1]梁潇,高昆仑,徐志博等.美国电力行业信息安全工作现状与特点分析[J].电网技术,2011,35(12):221-227.
[2]王旭,陈涛,缪刚.漏洞扫描技术在电网信息安全中的作用与实践[J].电力信息化,2011,9(2):157-160.
作者简介
李峰(1983-),男,河北省安国市人。现为国网新疆电科院工程师。研究方向为信息安全。
历经多年的信息通信基础设施建设,管道公司信息通信网络已覆盖分布在全国14个省市的二级单位、输油站库、码头和项目部,承载着工业电视、视频会议、移动可视化等网络应用以及智能化管线系统、ERP系统、OA系统等信息系统,成为公司生产运营、经营管理、综合办公的中枢神经。基于日趋完善的信息安全防护建设和日益丰富的信息安全管理手段,逐步建立了信息安全管理體系,部署了常规的技术防护措施,初步落实了信息安全等级保护要求,并定期开展信息安全风险评估。但是,必须看到,公司信息安全工作仍然面临十分严峻的形势。
1信息安全面临的形势与挑战
(1)国际上围绕网络空间主导权与控制权的争夺日趋激烈,信息基础设施和社会基础数据面临新时期严峻的网络攻击风险;云计算、物联网、移动互联和大数据等新技术的快速发展使网络安全边界更加模糊,给信息安全带来了新的更大的风险和挑战。
(2)国家层面在不断加强信息安全监管力度,专门成立了中央网络安全与信息化领导小组。“网络强国战略”在十八届五中全会上被纳入国家十三五规划的战略体系,网络信息安全逐渐被提升至国家安全战略的新高度。国内先进企业也在体系化的全面推进信息安全风险管控工作,传统的“被动静态防护”逐渐被“主动动态防御”所取代。
(3)管道公司在信息安全管理、技术保障和合规性建设方面取得了一定的进展,但仍然存在以下不足:信息安全组织机构不健全,缺乏专业技术人才;部分员工缺乏信息安全意识,信息安全责任落实不到位;信息系统建设没有完全落实信息安全防护同步规划、同步建设、同步运行的“三同步”原则,信息系统等级保护没有全面开展;互联网出口尚未统一,信息安全整体防御能力相对薄弱;无线网络应用、终端入网审计及系统用户权限管控还有待进一步规范。
2信息安全管理体系与技术保障体系建设[1]
2.1健全信息安全管理体系
成立公司网络安全和信息化领导小组,建立公司、二级单位两级的信息安全管理与应急处置组织体系,建立安全方针政策、安全管理制度、技术标准规范、流程控制表单四个层级的信息安全标准与制度体系框架;以信息安全等级保护为主线,抓好信息化项目立项、验收等关键节点,建立信息系统安全风险管控体系;按年度开展信息安全评估检查,以问题为导向提升信息安全防护水平;建立信息安全通报机制,强化信息安全意识宣教与信息安全技术培训、技能竞赛,形成良好的信息安全氛围。
2.2完善信息安全技术保障体系
在终端安全方面,部署网络准入控制系统、桌面安全管理系统、防病毒系统;在应用系统安全方面,对关键服务器主机设备进行冗余部署,建立主机弱点分析机制、主机系统软件备份和恢复机制、主机入侵检测机制和主机系统操作规范。同时,通过实施现有网络优化改造、网关部署等措施,实现公司生产网和办公网的业务安全隔离,提升网络边界安全防护能力。
3信息安全管理提升
3.1建立信息安全责任制
分解落实信息化归口管理部门、业务主管部门、建设运维单位、应用部门在信息系统全生命周期中的安全责任。明确各单位、部门的主要领导为信息安全第一责任人,明确各级信息安全管理员及各专业人员的信息安全岗位职责,强调像对待生产安全一样对待信息安全,营造人人有责、人人尽责、齐抓共管的信息安全管控环境。
3.2加强信息系统安全等级
保护与信息化项目全生命周期的信息安全闭环管理,抓好过程管控,切实落实“三同步”要求。在立项阶段确定安全等级,编制安全方案;在建设实施阶段实施安全方案;在上线验收阶段严格安全检查,杜绝系统“带病”上线运行。同时,梳理检查已投入运行维护的系统,确保全部纳入信息系统安全等级保护管理。
3.3建立健全信息安全应急响应机制
丰富信息安全应急资源,完善信息安全应急预案并加强演练,提升信息安全事件的响应速度和处置水平。通过技术培训和人才引进,加强信息安全技术团队建设,提升信息安全态势感知能力和动态主动防御水平,促使信息安全管理由“救火型”向“预防型”转变。
3.4建立健全信息安全分析和通报制度
结合国内外及石化行业信息安全形势,开展信息安全分析,查摆问题,研究制定解决方案。扩大《信息安全通报》影响面,充实通报内容,充分发挥通报信息安全信息、传播信息安全知识、安排信息安全工作、通报信息安全考核结果的综合作用。
3.5统一公司互联网出口
按业务需要严格管控,互联网访问实行实名制管理,互联网访问资源实行白名单管理。对外应用统一至公司云平台的对外区,建立统一远程接入区。建立公司统一的无线网络认证系统,取缔私自接入的无线路由器,规范无线网络应用,为移动应用提供安全通道。
3.6加强用户弱口令管理
全面启用强密码策略,提升用户登录认证的安全强度;将统一身份管理系统与HR系统集成,实时同步人员信息,强化用户账号的实名制管理。加强终端安全管理,实施用户终端准入实名制管理,全面提高统一防病毒软件和桌面管理软件的安装率,并积极推进虚拟桌面的普及应用。
3.7建立完善公司信息安全基线
以基线为基础实现信息安全的全面管控,降低局部信息安全事件对整体信息安全形势的影响,采取主动的防御思想,建设信息安全防护体系,并适时对基线进行调整,实现对信息安全事件的有效防御,切实提升信息安全管理和防护水平。
4结束语
信息安全管理要坚持技术与管理并重[1],在提高信息安全技术防护能力、做好适度防护的同时,注重信息安全组织体系、风险控制和运行服务等方面的管理,形成信息安全动态长效管理机制以及预防为主的主动式信息安全保护模式;既要作为一个单项重要工作来抓,更要融入各项日常信息化工作,特别是信息系统全生命周期管理中去,才能保障企业信息化的健康有序发展。
参考文献
[1]刘希俭等.企业信息化实务指南[M].北京:石油工业出版社;2011.
云环境下的五大趋势
王兴山所言之“新环境”,指的是“云环境”。他解释说,云环境是指由云计算、移动互联网、大数据、社会化网络、物联网、电子商务等诸多技术组成的新一代信息技术环境。他指出,在云环境下,以管理会计为抓手,大力推行精益财务,将是今后集团企业信息化建设的重要内容,也是集团管控进一步深化的核心所在。
浪潮通软副总裁魏代森指出,具体来说集团企业管理信息化建设正呈现以下五大趋势:
第一,建设财务共享服务中心成为集团企业的首要选择。通过资源共享和专业化服务,将财务管理的重心转向辅助业务管理和决策支持,进一步深化管理会计的推广应用。
第二,在经济形势不明朗、企业转型升级的大背景下,管理会计将越来越被集团企业所重视。
第三,发展电子商务是大势所趋。电子商务是集团企业建立产业链整体管控、提升产业链整体竞争力的必要手段,是其进行业务模式创新的重要途径。
第四,加速推进集团ERP建设,实现精益管理,已成集团企业共同选择。
第五,加强自主可控,强化信息安全。“棱镜门”事件给全球各界敲响了信息安全的警钟。实现信息系统、基础设施自主可控是解决中国信息安全威胁的关键所在。
“企业云”提供整合解决方案
正是在这些背景下,浪潮GS集团管控解决方案正在从核心基础应用,向全过程、全职能、全相关方的应用发展,从集团财务、资金管理、全面预算,扩展到集团供应链、销售与营销、集团制造、集团人力资源及商务智能等领域,从而覆盖整体产业链。王兴山说,这正是云环境下浪潮集团管控信息化解决方案——浪潮“企业云”的优势所在。
据悉,浪潮“企业云”主要由浪潮GS6.0管理软件套件和浪潮移动应用套件IMAS2.0组成。其中,浪潮GS6.0管理软件套件面向多层次、全价值链的多组织应用,支持不同类型的业务协作模式;面向决策者的应用需求,浪潮“企业云”支持“云+端”应用,支持集团企业深化集团管控,推动集约化管理与转型升级。
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
三、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。
四、信息安全前景:
在信息安全领域没有绝对的安全防护技术和手段。随着信息技术日新月异的发展,电力企业内网计算机违规外联风险也在增加。在已有的管控手段的基础上,还要及时关注新技术,不断完善和调整制度管理和技术策略。信息安全是伴随企业信息化应用发展而发展的永恒课题。
摘要:随着企业信息化水平的不断提高,移动终端设备已经广泛应用在企业各业务层面,也带来了巨大的安全隐患,本文针对其安全隐患提出来防范措施,具有一定的借鉴意义。
关键词:移动终端设备;安全隐患;管控解决方案
0引言
随着企业信息化水平的不断提高,移动终端设备的广泛使用,极大地方便了数据的信息交换,但是如何管理移动设备和其使用之间的问题,由此涉及到的是信息安全、服务整合、互操作性和组织成本控制等一系列问题。一般来说,移动终端设备除了笔记本电脑外,包括掌上电脑、智能手机、USB设备和GPS设备等,因为其移动方便的特性,对数据的安全性提出了更高的要求。
1移动终端设备面临的安全隐患
现在笔记本电脑、智能手机、iPad、U盘等正在被越来越多地使用,尤其是企业高层、出差的业务人员或到基层检查指导工作的管理人员、需要下班后在家加班的人员等,他们几乎已经离不开这类移动终端。与此同时,一些合作伙伴或客户出于某种需要,也可能需要使用移动终端接入到企业网络或者计算机。移动终端设备可能给企业带来以下几大隐患:
隐患一,保管不当,导致设备丢失或被盗,损失的不只是硬件成本,更关键的是里面的数据。
隐患二,使用不当,在数据传输过程中没有采取应有的保护措施,导致发送信息时被非法攻击者侦听截获。
隐患三,没有对设备里的数据采取足够的保护措施,数据很可能在使用者一无所知的情况下被窃取。
隐患四,感染病毒的移动设备一旦接入内网,病毒可能很快蔓延至网络内的每一个终端,影响整个网络的正常运转,严重时还会让企业的关键业务无法开展。
隐患五,不安全的移动终端一旦接入企业内网,很可能变成黑客们攻击内网的跳板。
2针对存在的安全隐患制定对策
通过分析移动终端设备管控的难点主要集中在以下几个方面:①外来移动终端设备随意接入企业内部网络或者计算机,很难做到有效控制,无形中为病毒、木马感染企业网络开辟了一条捷径;②内部移动存储设备很难做到逐个、逐次使用时登记备案,无法对遗失的移动存储设备以及存储其中的数据进行监控;③内部移动存储设备很难区分安全等级、区分场所、区分使用人,保存数据的移动存储设备随意拿到外部使用,很容易造成企业敏感数据外泄;④对移动存储设备的使用缺乏全面的记录信息,安全事故发生以后缺乏足够的协助管理员跟踪、定位和追溯责任人的依据和手段。
要想管控好移动终端设备,就必须做好以下四个方面:①移动终端设备使用的边界控制:外来的笔记本电脑、智能手机等设备连入网络,必须通过网络准入、应用准入、客户端准入等准入手段来解决,确保未安装客户端的无法连入内部网络,其安全性得到保障。外来移动存储设备不得随意接人企业内部计算机,以防止恶意代码通过移动存储设备感染企业内部网络。②移动存储设备分等级使用:对移动存储介质进行注册认证,只有注册认证过的才可以在内网使用。内部移动存储介质分不同的安全等级,受控使用,做到专人专用、专盘专用,从而保证企业关键信息和数据不会通过移动存储设备泄露。③强化移动存储设备的管理,将移动存储设备专人管理,规范操作使用,每次使用前要进行严格的查毒、杀毒。禁止使用个人U盘、数码相机、数码摄像机等存储卡。④移动存储设备的全生命周期管理:对内部存储关键数据和信息的移动存储设备,要有全生命周期的使用跟踪和管理,对内部移动存储设备的使用要有详尽的审计,以便事后能够进行准确的跟踪和定位,追溯到责任人。
3移动终端设备的管控解决方案
对移动终端设备的信息安全管理,应坚持“预防为主”的方针。“三分技术,七分管理”,要充分利用技术和管理两种手段,达到有效防范的目的。具体来说,企业可从如下三个方面着手:
3.1 加强人员培训,构筑人员安全关通过加强保密知识培训、网络安全知识培训、职业道德教育和对网络事故案例讲解,使员工充分了解计算机网络存在的安全隐患,提高工作人员的安全保密意识和自我防范能力。
3.2 部署管控平台,把好技术安全关通过部署绿盟终端安全管理系统,该系统涵盖接入控制、数据防泄密、安全防护、桌面管理四大领域,在终端安全方面提供系统级安全保护,提供网络层与应用层的准入控制,强制隔离不符合安全要求的终端主机。实现了对移动存储设备的全面管理,移动介质被分为外来介质、内部普通介质和内部专用介质三种不同的安全等级,针对每种安全级别均可设置具体的使用权限,如只读、可写,实现了对移动介质的细粒度管理。
3.3 完善制度建设,健全信息管理关
3.3.1 加强内部管理,完善计算机保密制度。细化信息安全的管理规范和责任追究,明确界定信息范围,切实落实各项具体措施。使计算机安全保密工作有章可循,逐步实现计算机信息安全保密工作的规范化管理。
3.3.2 加强对移动办公设备管理的检查。通过对单位的移动终端设备集中登记、授权和安全认证,全面掌握企业移动终端的使用管理情况,定期进行信息安全检查,发现违规情况及时进行通报。对终端设备列入重点信息安全监控部位,专人专用、专人管理,不定期进行检查防护。
3.3.3 加强对外来人员的管理。为了防范信息泄密,确保信息与网络的安全。
4结束语
信息安全是信息发展的基础,要建立一个安全可靠的网络安全管控体系,既要有专业的安全产品,更要有规范和强有力的安全管理制度。移动终端设备所带来的安全隐患必须引起各企业的高度关注,充分利用技术和管理两种手段,提高安全保障能力,为企业各项工作顺利开展提供信息保障和技术支撑。
参考文献:
[1]杨义先.网络信息安全与保密[M].北京:北京邮电大学出版社,2000:1-3.