内网信息安全管理精选(五篇)
发布时间:2023-10-09 17:41:39
序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的5篇内网信息安全管理,期待它们能激发您的灵感。
篇1
网络信息和计算机技术发展的背景下,为人们的工作带来极大便利性,然而由于信息出现泄露的情况十分严重,这使得企业蒙受严重的损失。因此,这就需要企业不断加强对信息安全的管理工作,从而更好地保护企业信息的安全性。尤其是企业中财务信息、高层机密决策以及技术信息等更是需要加强管理,这能够充分保障企业发展所需要的优势资源。本文重点分析企业如何设计信息管理的系统,进一步提升企业中信息管理的可靠性。
1阐述企业内部对信息管理的情况
1.1企业缺乏监控体系
目前,许多企业中在内部网络和外部网络之间的连接处基本依靠防火墙进行控制,而对企业中员工的上网行为则主要是依靠访问管理的方式进行控制。然而这些防护方式并没有对企业内部信息实施有效的监控[1],一旦受到来自外界干扰或者是外界系统对公司的入侵,极易造成企业中的信息发生泄漏的问题,因此,为了能够更好地管理企业信息,就需要不断提升监控能力。
1.2企业缺乏安全管理机制
这主要表现在企业中没有一个安全管理的机制,企业中对信息安全管理还处于初级认识阶段。因此,在管理工作中没有严格地监控机制,从而导致了企业中的信息安全存在较大的威胁性。然而尽管有的企业对信息管理采取一定的措施,然而在管理方面的力度不够,尤其对企业员工的管理没有十分明确的制度规定,这一方面导致了企业员工对信息安全的认识度不高,另一方面对信息安全的保护力度不足,使得企业内部信息受到极大的威胁。
1.3企业缺乏应急流程
目前,企业在信息安全保护工作中没有一套有效的应急流程,一旦企业中发生信息问题,难以找到有效的负责人,这不仅没有有效管理信息,而且也难以防止类似信息问题再次发生[2]。尤其是信息管理的机房以及子系统中,实施远程控制没有取得显著的效果,而发生信息问题时,也不能及时上报,从而延缓了信息问题处理的良好时机。
2分析安全隐患
2.1操作系统存在安全隐患的问题
这主要是由于企业中许多员工在工作中操作系统方面没有十分注意信息安全的问题,并认为只要电脑能够正常使用,并且不影响自己的工作情况即可,而较少考虑自己信息安全方面的问题,所以这就导致了需要操作中出现信息泄露的问题,例如从不同的端口中出现黑客入侵的情况,从而导致了信息安全受到较大的影响。
2.2应用系统存在安全隐患的问题
由于企业中各个不用的工作种类对信息的需要量不同,因此,在信息管理方面也出现需要一定的困难,因为工作中所涉及的应用系统较多,而且其中的信息保密程度不同,所以一旦应用系统出现问题就会对信息安全带来较大的威胁性[3]。此外,由于应用系统具有不断变化的特点,这对信息安全带来一定的威胁。2.3病毒侵害目前,各种各样的病毒入侵,对信息安全带来较大的影响,而且这些病毒还有快速传播的特点,因此,信息安全受到较大的威胁。此外,在传播途径方面出现的多样化,也对信息安全产生了较大影响。例如通过邮件、下载以及移动设备等方式而携带病毒,从而对企业中的管理信息的系统造成不良影响。
3分析信息管理系统设计
在文章中主要分析信息系统设计工作中通过客户端和服务器端的模式而不断提升信息系统的安全性,在这一模式下,可以通过服务器端和客户端而对企业中的信息进行有效管理,这能够更好地降低当前企业中信息安全的威胁度,同时也能够有效提升企业中信息管理的工作效率[4]。从当前市场上所流行的一些主流应用软件可知,基本是分布式的模式发展较快,此外,在分散网络以及终端设备方面也能够通过组件的方式而不断提升管理的效率,这就能够在满足企业对信息的需求情况。无论出于企业中的何种位置上,只要出于互联网支持的背景下,都能够随意访问企业内部的系统,同时还能够在各个应用系统中做到组件共享和系统升级。由此可知,运用客户端和服务器端的方式就能够更好地提升信息保护的能力,当企业工作人员对信息进行提取时,此时企业内部的服务器就会接收对应的信息,然后经过系统的处理,而将信息提取的结果有效反馈给信息需求者。当前企业中运用客户端和服务器端的模式在信息管理工作中不断提升了工作效率,同时也对信息安全保护带来帮助。这种模式具有良好的交互性、安全性、响应快以及网络负载较低等特点[5],从而能够提升信息数据的处理速度。
3.1分析系统工作的原理
在本次设计的信息管理系统中主要从如下三个不同部分共同组成,即控制端、客户端以及服务器端。而在信息管理工作中的人员则需要按照三者不同的作用而控制好企业中内网的情况,因此,这就需要安装控制端、客户端以及服务端,然后做好对企业中的信息工作。其中,在企业中的信息保护工作就需要在计算机中的客户端做好控制,而系统中的客户端则能够加强控制,最后是存储信息方面,计算机需要对计算机中的信息实施有效的保护,这对具有存储功能的计算机而言,这一个服务项目就称之为服务器端,它主要的作用就是能够在数据库中保护好客户端中的信息,并能够在日常监控中记下监听日志[6]。该信息管理的系统在实际工作中的操作方式是:第一,做好数据源的统计工作,这主要是对客户端中各种信息(包括软硬件)、屏幕采集、信息数据以及监听日志做好统计工作;第二,对不同的数据信息进行收集和整理,这主要是从服务段每天所收集的信息而进行分类处理,尤其是在对其中的不同的类型的信息都需要做好整理,从而能将数据划分在对应的数据库中,便于做好信息管理的工作;第三,从信息管理系统中下载数据,这主要是从数据库中对不同的信息数据进行下载和管理,并能够将这些数据保存在对应的数据库中,从能够在为信息管理工作提供一定的指导依据;第四,动作响应,这主要是对客户端中的信息进行管理,此时工作人员可以从信息控制端中接收信息指令,然后根据系统中的掌握信息是否处于安全的环境下。例如通过网络中所收集的信息,则能够通过客户端而更好地掌握网络中的信息传输情况,从而帮助企业带来良好的信息保护依据[7]。通过分析上述信息实施的过程情况可知,客户端属于信息安全保护的重点内容,主要的内容模块有:通信、安全策略、信息釆集以及命令执行。而在该系统中,服务器端则主要是对系统中的数据进行科学管理,其主要包括的内容有:系统部署、信息服务、管理、信息汇总以及远程安装模块。系统中的控制端主要是对管理人员而言的,它能够为数据查询工作提供帮助,同时更好地将数据信息传递给对应的工作人员,主要的模块有:命令控制、通讯、策略配置以及图形化。
3.2分析信息系统的功能设计情况
1)运行中系统资源的占用情况
这主要是因为系统通过屏幕录制的模块可以和计算机运行保持同步,所以在安全角度就需要做到完整性以及隐秘性,而屏幕录制在运行时没有占据较多的内存,从而能够充分保存计算机为日常工作提供便利性。从近年来发展情况可知,存储技术在不断进步,其中以大容量存储设备最为显著,通过这些大容量的设备而更好地满足信息管理中对空间的需求情况。此外,通过压缩的方式也可以释放一定的内存。
2)分析监听模块
在本文中所设计的信息系统还增加了监听模块,主要是从网络流量的情况而做好信息保密工作。因此,在设计本系统中,还增加了一个管理信息管理的模块,主要是信息管理计算机进行监听,例如其中的网络流量情况、数据传输速度以及信息的保密性等,经过技术人员研究之后所得到本系统的功能如下:第一,系统对信息数据包的截获情况,此时可以运用软件对网络中的信息进行监测,然后通过信息源中的主机情况进行分析,从而能够将信息从主机服务口实施过滤,促成相关信息形成日志,第二,协议分析,这主要是针对信息传输工作中,主要是将数据信息转化文字信息,同时能够掌握好数据信息[8],从而便于工作人员提升对网络性能的监控能力,从而能够对网络安全运行而提供良好的保障性。因此,在计算机中需要通过网络正常的方式而提升信息的安全度。通过数据包的截获,可以对其中的信息数据进行分析与匹配,工作人员就能够从一些可以信息中找出可疑信息,进而能够对保护原始数据带来帮助。
4结束语
当前,企业在发展过程中需要不断扩大业务范围,从而能够有效巩固自己的市场地位,同时也能够有效节约企业发展所需要的成本。而在信息化发展的背景下,人们已经对计算机技术产生了较大的依赖性,同时人们日常工作中对借助于信息化技术帮助也极大地提升了工作效率,并逐渐建成企业中的网络系统、门户系统以及邮件系统,而在实际管理企业信息系统方面还需要不断加强,从而保护好企业发展中的各种信息,尤其是处理企业中所存在的安全问题,从而有效防止企业内部的信息出现泄漏的情况。文章中所设计系统经过实践运用对企业信息保护带来积极帮助,然而在实际工作中还需要针对新情况而不断完善。
参考文献:
[1]石玉成.企业内网USB设备监控与审计管理系统的设计与实现[J].信息安全与技术,2013,4(1).
[2]吕志强,刘喆,常子敬,等.恶意USB设备攻击与防护技术研究[J].信息安全研究,2016,2(2).
[3]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(4).
[4]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(17).
[5]于宝东.桌面安全系统助力石化企业计算机终端管理[J].中国管理信息化,2015,18(2).
[6]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).
[7]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).
篇2
电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息安全管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。
一、电力企业内网面临的完全威胁
内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:
一是物理层面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。
二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。
三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。
由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。
二、电力企业内网安全管理技术
(一)防火墙技术的应用。
在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。
(二)漏洞扫描及入侵检测技术。
对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。
(三)网络安全防护技术。
从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。
(四)防病毒软件技术。
计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。
三、结语
电力系统内网安全管理工作不容忽视,通过对内网安全管理中的问题进行分析,并从安全管理技术上,加强综合性防范。同时,内网安全管理要注重人的关键性,要不断加强安全意识教育,从制度上提升内网操作的安全水平,最大限度减少内网用户的安全威胁,保障内网的稳定、可靠运行。
篇3
关键词:电子政务 内网 信息安全 风险分析
一、前言
政务内网是指政府机关内部专门用于处理业务工作的办公网络,是政府部门内部工作联络、信息传递的现代化信息基础设施。其特点有二:一是与社会信息网络物理隔离、相对独立运行;二是涵盖政府部门用于执行政府职能的信息系统,所涉及的众多信息都带有保密性[1]。
电子政务给传统的政府工作注入了全新活力,大大提高了行政管理效率,改善了政府工作环境,增强了政府行政能力。目前,信息技术已渗透并服务于政府工作的各个领域,正在发挥着越来越重要的作用。但是,信息技术也是一把“双刃剑”,它在提高政府工作效率的同时,也引入了众多安全隐患。特别是在政务内网的信息化建设过程中,从人、管理、技术三个方面衡量,还存在着内部公务人员信息安全意识不高、管理措施不到位、技术手段不足、信息化应用推进与信息安全建设不够同步等问题。在政府信息化推进过程中,这些问题产生的后果有可能给不法分子以可乘之机,而使政府造成损失;严重阻碍政府的行政工作,甚至还会造成政府工作系统的瘫痪,直接危害国家安全。
在信息时代,由网络信息安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中[2]。保证网络安全运行已提升到维护国家、保护国家安全的高度。因此,如何解决信息安全问题已经成为整个电子政务构建过程中所面临的重要课题。
二、政务内网安全风险分析
随着网络规模的不断扩大,网络及应用系统所受到的安全威胁就越严重。由于政府部门许多应用系统开发建设时间较早,早期的系统开发设计中对信息安全考虑较少,系统较脆弱,所面临的安全风险较大。为了达到信息安全的基本目的,必须积极预防可能出现的针对政务 内网信息及其应用系统的各种安全威胁。主要的安全风险包括以下6个方面。
⒈内部人员主动窃密和破坏
一是内部工作人员利用工作、职务之便,将其能接触到的文件、数据、内部工作信息等提供给敌对组织和个人。二是内部人员有意或无意泄密,更改记录信息,内部非授权人员有意或无意偷窃信息,更改网络配置和记录信息,内部人员破坏网络系统,等等。据统计,来自网络内部的攻击占整个安全攻击总量的70%以上[3]。
⒉工作人员安全保密意识薄弱
少数工作人员缺乏基本的信息安全保密知识,不了解信息化过程中对应的安全风险,如内部口令互串;没有意识到信息安全问题不仅仅是职能部门的事,更是每个人必须遵守和维护的重要工作。在具体工作中,违规操作、有章不循、监管不力、“制度如林,落实无人”等现象大量存在。
⒊各种移动存储介质管理和使用混乱
对移动存储介质,移动计算机设备的使用上缺乏有效的监控手段,普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象,如此造成知密面扩大,甚至移动设备丢失,直接造成泄密。
⒋对保密信息监管不力
各类电子文档在使用过程中有效的认证、授权使用和监管措施不够。电子文档不同于一般纸质文件,它的拷贝、复制和传递都具有特殊性。电子文档随意拷贝、复制,很有可能造成知密面扩大、文件丢失、文件被篡改甚至发生泄密事件。重要应用系统没有审计功能,或审计功能相对薄弱,对可能发生窃取行为、未经授权或越权使用资源的现象没有有效的记录和取证能力,无法满足事后追究责任的需要。
⒌技术措施不完善
一是在某些应用系统中安全性考虑不够,开发队伍缺乏保证应用安全的经验,应用系统配置和部署考虑安全性还不周到,对重要信息系统中数据的访问控制措施不够。二是内部网络系统由于文件交换等情况感染计算机病毒、网络蠕虫和其他恶意代码,直接造成系统破坏、网络瘫痪、数据丢失等。三是信息安全专职管理人员在数量上和技术上还不能满足政府高标准的安全保密工作需求,这就造成工作人员因人手问题而无法分权管理,因能力问题而不能提供有效保障。
⒍信息安全责任体系尚不健全
政务内网的信息安全责任体系尚不健全,存在各部门职责划分不清,多头指导、政出多门,建设和监督未能有效分离,检查督促不到位,出现问题难以落实到人等问题。这些问题造成内部管理混乱,责任不明确,技术措施不能到位,出现问题互相推诿等现象,严重影响政务内网整体的信息安全防范能力。
三、政务内网信息安全状况
基于以上安全风险分析,当前政务内网的信息安全综合保障能力与政府职能部门对信息安全保密整体要求仍有较大的差距,其突出表现在以下5个方面。
⒈内部工作人员的保密安全意识亟待加强
政府的工作性质决定了对工作人员有很高的保密要求,但是在日常工作中工作人员对信息安全问题还存在不少认知盲区,对网络信息不安全的事实认识不足,误认为政务内网实施了物理隔离就安全无忧了。不少工作人员的安全保密意识淡薄,这种有章不循、有禁不止的现象导致了很大的安全隐患。
⒉信息加密措施不能满足实际需要
加密是信息安全的核心,目前政务信息化建设正在不断深化,许多应用系统已应用于政务内网,越来越多的数据信息通过网络和计算机完成处理和交换任务。虽然目前已经对加密问题采取了一些措施,但加密仍是政务内网信息安全保密工作亟待解决的问题之一。
⒊信息安全组织管理、培训工作滞后
信息安全是一项管理工程,任何技术手段都需要管理来落实。目前政务内网的信息安全管理人员大多属于兼职,缺乏有力的组织保障以及系统和规范的教育培训。组织机构不健全严重影响了信息安全管理工作的落实,造成信息安全管理工作的滞后。
⒋信息安全整体防范工作薄弱
政务内网信息安全工作,仍停留在查缺补漏阶段,防范方式简单,对防范手段缺乏系统的梳理和体系化的规划建设,整体防范能力较低,普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识, 更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。这种状况已不能适应政务工作信息化的需求[4]。
⒌缺乏有针对性的信息安全防范技术措施
政府业务应用各类多样,其保密要求高,社会上通用的技术手段远远不能满足其安全需求;急需与之相适应的各类专用安全保密技术措施。
四、政务内网的安全需求
政务内网的安全需求主要包括以下一些方面:
⑴需要与外部社会公共信息网络实施严格的物理隔离或物理隔断;
⑵政务内网需要保护核心网络免遭非信任主体的外部干扰或篡改,或者其安全功能被非信任主体旁路[5];
⑶需要提供访问控制机制,确保对核心网络的不信任连接进行控制与防范,对各类共享信息的安全和有序访问;
⑷需要提供信息在网络系统间的加密传输,保护其机密性和完整性的方法;
⑸需要提生证据的方法,该证据可用于抗抵赖服务;
⑹需要能唯一标识网络用户,在允许用户访问应用系统服务之前通过相应的身份鉴别;
⑺需要授权结果的有效性,确保授权数据源不能被非授权用户访问;
⑻需要提供集中的病毒检查和控制机制,确保所有内网主机系统和数据对病毒的侵扰具有预警和防范能力;
⑼需要提供与安全相关事件的记录和审计手段,并根据事件分析进行预警和防范的能力;
⑽需要提供管理和配置内部网络系统的安全措施,只有获得授权的管理员才能使用这些措施;
⑾需要提供相应的系统及数据备份机制。
五、政务内网信息安全防护对策
⒈强化安全教育
信息安全是电子政务开展各项工作的前提,更是维系工作的关键。信息化和信息安全的建设,需要带着安全保密意识来统一规划、规范指导、有效监管。信息安全是人、管理、技术的有机结合,其中人是根本,管理是关键,技术是保证。通过普及教育、专业培训等方式,对不同类型的人员进行相关的安全教育,要使所有公务人员都能充分认识到“人是安全信息系统的重要组成部分”,没有安全可靠的各级人员的参与,任何信息系统都是不安全的。越是对授予较高权限的人员,越要增强其安全意识。
⒉强化安全管理
建立信息安全责任体系,严格落实岗位责任制,建立全过程、全寿命的信息安全机制。通过加强组织保障、加强管理运行、加强针对措施、加强技术手段来减少人员违规操作和犯错误的机会。相关策略有:建立信息安全运行管理体系,以网络管理中心、审计与风险分析中心、检测与监控中心、CA中心、密钥管理中心、防病毒管理中心等为依托,分别对有关的安全机制进行统一配置和管理,汇集有关信息,并通过对汇集信息的分析做出行动决策;以严格的管理使技术措施发挥作用,以技术手段强化安全管理,使管理钢性化,形成威慑,不给不法分子以可乘之机,严防各类安全事件的发生。
⒊强化安全技术
⑴针对内部人员对网络信息系统的随意访问现象,可采取指纹、智能卡、网络身份认证(PKI/CA)等多种强认证方式实现身份认证和授权管理,保证内部信息的合法使用;
⑵针对内部人员随意拷贝、打印文件,安装、使用与工作无关软件等行为,可采用内部安全监控和审计技术,控制出入口,以保证信息的受控使用;
⑶针对信息的传输加密问题,在链路层和网络层可使用国家密码管理局批准装备使用的密码设备;
⑷针对网络和重要数据库的访问审计薄弱,可采用网络与数据库审计系统,记录所有用户的使用行为,以保证事后追查;
⑸针对网络中的非法访问、攻击和病毒传播等问题,可采用防火墙、入侵检测、防病毒等多种技术手段,以保证基础网络系统的安全;
⑹针对移动介质的使用管理混乱问题,可采取标识和鉴别技术,保证工作用移动介质的授权使用,统一编码,统一管理,同时禁止私人移动存储介质在内部信息系统使用。
六、结束语
在政务信息化推进过程中,信息安全风险分析及信息安全防范工作,是一项长期而复杂的系统工程。各级公务人员必须时刻牢记和必须做到:将安全保密理念贯穿于整个系统的生命周期,保证政务内网在规划、建设、测试、验收、运行、维护、升级以及废弃的全过程中都能处在一个符合规定要求、可接受的低风险状态。
参考文献:
1 杨敬.电子政务中的信息安全管理[J].内蒙古科技与经济,2007(16)
2 李彦辉,王述洋,王春艳.网络信息安全技术综述[J].林业劳动安全,2007,20(1):25-29
3 朱卫未.电子政务系统信息安全策略研究[D].合肥:中国科学技术大学,2006
4 陈淑兰.电子政务安全问题探讨[J].沿海企业与科技,2007(8)
5 吴晓平.PKI_CA在专用信息系统中的建设及应用研究[D].成都:四川大学,2006
作者简介:
篇4
【关键词】电力企业信息安全管理;组织管理;失误因素
1 电力企业信息安全管理中组织管理失误的分析方法
电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。
2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走
第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。
第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。
第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。
3 电力企业信息系统安全管理的必要性
电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。
4 电力企业信息安全管理中组织管理常见失误
近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:
第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。
第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。
第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。
5 电力企业信息安全管理体现构建的有效策略
基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。
5.1 提高对电力企业信息安全的认知度
针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。
5.2 建立健全信息安全审计机制
内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。
5.3 建立和完善信息安全风险管理制度
信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。
篇5
关键词 管理;信息;安全;违章
中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02
随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。
1 信息安全管理的目标描述
1.1 信息安全管理的理念
信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。
1.2 信息安全管理的范围和目标
1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。
2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。
2 信息安全分类考核的主要做法
2.1 建立信息安全分类考核机制的目的
为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。
2.2 信息安全分类考核的依据和原则
依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。
2.3 信息安全违章行为界定
违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。
2.4 信息安全违章行为的分类
2.4.1 一般性违章(III类违章)
1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。
2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。
3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。
4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。
5)计算机未按要求进行注册或注册信息与责任人信息不一致。
6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。
7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。
2.4.2 较严重违章(II类违章)
1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。
2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。
3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。
4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。
5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。
6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。
7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。
8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。
9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。
10)内网计算机私自带出公司。
11)擅自组建无线网络并接入信息内网。
12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。
13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。
14)内外网计算机同处一室,经查实仍未按要求进行整改。
15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。
2.4.3 严重违章(Ⅰ类违章)
1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。
4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。
2.5 信息安全违章的督查
1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。
2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。
2.6 信息安全违章的处罚
1)处罚标准。
①I类违章:10000元以上或待岗处理。
②II类违章:500-2000元。
③III类违章:200-500元。
2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。
3)连带责任考核。
连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。
4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。
5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。
3 评估与改进
3.1 信息安全违章分类考核的评价
参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。
建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。
3.2 信息安全管理的提升
1)加强信息安全防范工作。
近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。
2)持续提高运维人员业务水平。
随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。
3)进一步加强员工信息安全意识。
加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。
4 结束语
生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。
参考文献
[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.
[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.
