当前位置: 首页 精选范文 内网信息安全管理范文

内网信息安全管理精选(十四篇)

发布时间:2023-10-09 17:41:39

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇内网信息安全管理,期待它们能激发您的灵感。

内网信息安全管理

篇1

关键词:企业内网信息安全管理系统;设计;研究

网络信息和计算机技术发展的背景下,为人们的工作带来极大便利性,然而由于信息出现泄露的情况十分严重,这使得企业蒙受严重的损失。因此,这就需要企业不断加强对信息安全的管理工作,从而更好地保护企业信息的安全性。尤其是企业中财务信息、高层机密决策以及技术信息等更是需要加强管理,这能够充分保障企业发展所需要的优势资源。本文重点分析企业如何设计信息管理的系统,进一步提升企业中信息管理的可靠性。

1阐述企业内部对信息管理的情况

1.1企业缺乏监控体系

目前,许多企业中在内部网络和外部网络之间的连接处基本依靠防火墙进行控制,而对企业中员工的上网行为则主要是依靠访问管理的方式进行控制。然而这些防护方式并没有对企业内部信息实施有效的监控[1],一旦受到来自外界干扰或者是外界系统对公司的入侵,极易造成企业中的信息发生泄漏的问题,因此,为了能够更好地管理企业信息,就需要不断提升监控能力。

1.2企业缺乏安全管理机制

这主要表现在企业中没有一个安全管理的机制,企业中对信息安全管理还处于初级认识阶段。因此,在管理工作中没有严格地监控机制,从而导致了企业中的信息安全存在较大的威胁性。然而尽管有的企业对信息管理采取一定的措施,然而在管理方面的力度不够,尤其对企业员工的管理没有十分明确的制度规定,这一方面导致了企业员工对信息安全的认识度不高,另一方面对信息安全的保护力度不足,使得企业内部信息受到极大的威胁。

1.3企业缺乏应急流程

目前,企业在信息安全保护工作中没有一套有效的应急流程,一旦企业中发生信息问题,难以找到有效的负责人,这不仅没有有效管理信息,而且也难以防止类似信息问题再次发生[2]。尤其是信息管理的机房以及子系统中,实施远程控制没有取得显著的效果,而发生信息问题时,也不能及时上报,从而延缓了信息问题处理的良好时机。

2分析安全隐患

2.1操作系统存在安全隐患的问题

这主要是由于企业中许多员工在工作中操作系统方面没有十分注意信息安全的问题,并认为只要电脑能够正常使用,并且不影响自己的工作情况即可,而较少考虑自己信息安全方面的问题,所以这就导致了需要操作中出现信息泄露的问题,例如从不同的端口中出现黑客入侵的情况,从而导致了信息安全受到较大的影响。

2.2应用系统存在安全隐患的问题

由于企业中各个不用的工作种类对信息的需要量不同,因此,在信息管理方面也出现需要一定的困难,因为工作中所涉及的应用系统较多,而且其中的信息保密程度不同,所以一旦应用系统出现问题就会对信息安全带来较大的威胁性[3]。此外,由于应用系统具有不断变化的特点,这对信息安全带来一定的威胁。2.3病毒侵害目前,各种各样的病毒入侵,对信息安全带来较大的影响,而且这些病毒还有快速传播的特点,因此,信息安全受到较大的威胁。此外,在传播途径方面出现的多样化,也对信息安全产生了较大影响。例如通过邮件、下载以及移动设备等方式而携带病毒,从而对企业中的管理信息的系统造成不良影响。

3分析信息管理系统设计

在文章中主要分析信息系统设计工作中通过客户端和服务器端的模式而不断提升信息系统的安全性,在这一模式下,可以通过服务器端和客户端而对企业中的信息进行有效管理,这能够更好地降低当前企业中信息安全的威胁度,同时也能够有效提升企业中信息管理的工作效率[4]。从当前市场上所流行的一些主流应用软件可知,基本是分布式的模式发展较快,此外,在分散网络以及终端设备方面也能够通过组件的方式而不断提升管理的效率,这就能够在满足企业对信息的需求情况。无论出于企业中的何种位置上,只要出于互联网支持的背景下,都能够随意访问企业内部的系统,同时还能够在各个应用系统中做到组件共享和系统升级。由此可知,运用客户端和服务器端的方式就能够更好地提升信息保护的能力,当企业工作人员对信息进行提取时,此时企业内部的服务器就会接收对应的信息,然后经过系统的处理,而将信息提取的结果有效反馈给信息需求者。当前企业中运用客户端和服务器端的模式在信息管理工作中不断提升了工作效率,同时也对信息安全保护带来帮助。这种模式具有良好的交互性、安全性、响应快以及网络负载较低等特点[5],从而能够提升信息数据的处理速度。

3.1分析系统工作的原理

在本次设计的信息管理系统中主要从如下三个不同部分共同组成,即控制端、客户端以及服务器端。而在信息管理工作中的人员则需要按照三者不同的作用而控制好企业中内网的情况,因此,这就需要安装控制端、客户端以及服务端,然后做好对企业中的信息工作。其中,在企业中的信息保护工作就需要在计算机中的客户端做好控制,而系统中的客户端则能够加强控制,最后是存储信息方面,计算机需要对计算机中的信息实施有效的保护,这对具有存储功能的计算机而言,这一个服务项目就称之为服务器端,它主要的作用就是能够在数据库中保护好客户端中的信息,并能够在日常监控中记下监听日志[6]。该信息管理的系统在实际工作中的操作方式是:第一,做好数据源的统计工作,这主要是对客户端中各种信息(包括软硬件)、屏幕采集、信息数据以及监听日志做好统计工作;第二,对不同的数据信息进行收集和整理,这主要是从服务段每天所收集的信息而进行分类处理,尤其是在对其中的不同的类型的信息都需要做好整理,从而能将数据划分在对应的数据库中,便于做好信息管理的工作;第三,从信息管理系统中下载数据,这主要是从数据库中对不同的信息数据进行下载和管理,并能够将这些数据保存在对应的数据库中,从能够在为信息管理工作提供一定的指导依据;第四,动作响应,这主要是对客户端中的信息进行管理,此时工作人员可以从信息控制端中接收信息指令,然后根据系统中的掌握信息是否处于安全的环境下。例如通过网络中所收集的信息,则能够通过客户端而更好地掌握网络中的信息传输情况,从而帮助企业带来良好的信息保护依据[7]。通过分析上述信息实施的过程情况可知,客户端属于信息安全保护的重点内容,主要的内容模块有:通信、安全策略、信息釆集以及命令执行。而在该系统中,服务器端则主要是对系统中的数据进行科学管理,其主要包括的内容有:系统部署、信息服务、管理、信息汇总以及远程安装模块。系统中的控制端主要是对管理人员而言的,它能够为数据查询工作提供帮助,同时更好地将数据信息传递给对应的工作人员,主要的模块有:命令控制、通讯、策略配置以及图形化。

3.2分析信息系统的功能设计情况

1)运行中系统资源的占用情况

这主要是因为系统通过屏幕录制的模块可以和计算机运行保持同步,所以在安全角度就需要做到完整性以及隐秘性,而屏幕录制在运行时没有占据较多的内存,从而能够充分保存计算机为日常工作提供便利性。从近年来发展情况可知,存储技术在不断进步,其中以大容量存储设备最为显著,通过这些大容量的设备而更好地满足信息管理中对空间的需求情况。此外,通过压缩的方式也可以释放一定的内存。

2)分析监听模块

在本文中所设计的信息系统还增加了监听模块,主要是从网络流量的情况而做好信息保密工作。因此,在设计本系统中,还增加了一个管理信息管理的模块,主要是信息管理计算机进行监听,例如其中的网络流量情况、数据传输速度以及信息的保密性等,经过技术人员研究之后所得到本系统的功能如下:第一,系统对信息数据包的截获情况,此时可以运用软件对网络中的信息进行监测,然后通过信息源中的主机情况进行分析,从而能够将信息从主机服务口实施过滤,促成相关信息形成日志,第二,协议分析,这主要是针对信息传输工作中,主要是将数据信息转化文字信息,同时能够掌握好数据信息[8],从而便于工作人员提升对网络性能的监控能力,从而能够对网络安全运行而提供良好的保障性。因此,在计算机中需要通过网络正常的方式而提升信息的安全度。通过数据包的截获,可以对其中的信息数据进行分析与匹配,工作人员就能够从一些可以信息中找出可疑信息,进而能够对保护原始数据带来帮助。

4结束语

当前,企业在发展过程中需要不断扩大业务范围,从而能够有效巩固自己的市场地位,同时也能够有效节约企业发展所需要的成本。而在信息化发展的背景下,人们已经对计算机技术产生了较大的依赖性,同时人们日常工作中对借助于信息化技术帮助也极大地提升了工作效率,并逐渐建成企业中的网络系统、门户系统以及邮件系统,而在实际管理企业信息系统方面还需要不断加强,从而保护好企业发展中的各种信息,尤其是处理企业中所存在的安全问题,从而有效防止企业内部的信息出现泄漏的情况。文章中所设计系统经过实践运用对企业信息保护带来积极帮助,然而在实际工作中还需要针对新情况而不断完善。

参考文献:

[1]石玉成.企业内网USB设备监控与审计管理系统的设计与实现[J].信息安全与技术,2013,4(1).

[2]吕志强,刘喆,常子敬,等.恶意USB设备攻击与防护技术研究[J].信息安全研究,2016,2(2).

[3]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(4).

[4]王义春.基于IBE的电力内网安全机制研究[J].黑龙江科学,2016,7(17).

[5]于宝东.桌面安全系统助力石化企业计算机终端管理[J].中国管理信息化,2015,18(2).

[6]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).

[7]刘梁,姚文,张晶,等.浅谈三级气象信息系统测评及安全防护策略[J].信息安全与技术,2013,4(4).

篇2

 

电力企业作为能源行业的重要组成,随着网络通信技术的广泛应用,逐渐形成完善的计算机网络信息安全管理系统。然而,由于电力企业地域性分布广泛,各类业务应用相对繁杂,特别是网络拓扑结构交错性强,加之来自网络内外的各类潜在病毒及黑客攻击的干扰,网络安全问题面临严峻挑战。本研究将从电力企业内网安全管理入手,就其风险因素及防范技术展开探讨。

 

一、电力企业内网面临的完全威胁

 

内网是相对于外网而言,在电力企业内外建设上,根据不同应用领域和管理实际,内网建设多以核心交换机为中心,来实现对不同部门、不同业务之间的协同管理。其面临的安全威胁主要表现在:

 

一是物理层面的风险,如信息中心各主要服务器、路由器、交换机、工作站等硬件设备、线缆的安全,在进行网络部署时未能从防火、抗震、抗电磁辐射干扰上进行优化,特别是未对接地电阻、独立接地体,以及线缆屏蔽层进行防护,对于重要服务器及重要网络设备未建立双UPS电源管理,对一些关键数据设备在出现故障时未进行容灾备份设计。

 

二是网络架构安全因素,由于内网设计不同领域、不同部门的每一个员工,在不同站点之间采用不同的连接方式,如有些是光纤连接、有些是租赁专线,有些是VPN连接;在网络拓扑结构上因设备系统扩展,缺乏科学规划,导致逻辑网络子网划分不合理、子网间不安全连接问题突出。

 

三是网络系统设置因素,对于不同主机系统、网络设备等硬件在安全配置上存在漏洞,有些系统补丁不健全,容易留下攻击隐患;有些配置管理操作不规范,如一些路由器配置不合理,特别是针对Windows系统与Linux系统共存环境下的内网配置参数问题,都给系统管理带来影响。四是应用软件风险因素,从内网应用软件系统来看,一方面为办公系统软件,设计系统等通用软件,另一方面是电力系统协同软件,财务软件等行业类软件,再者是围绕电力生产、供应、管理、调度而开发的专用自动化系统软件,营销系统等。

 

由于不同软件厂家在软件设计、使用及软件漏洞管理上都存在不足,而电力企业在内网应用软件管理上未能进行协同推进,特别是软件的口令授权、权限设置,软件系统数据管理及配置、备份管理等问题,都可能带来更多安全缺陷。五是病毒防范及信息安全意识不足,对于内网,同样需要关注病毒侵害风险,特别是在一些文档传输中,对于病毒的形式、传播途径等未能进行专业防范,特别是风险意识不足,未能真正从制度上、管理上落实安全管理要求。

 

二、电力企业内网安全管理技术

 

(一)防火墙技术的应用。

 

在企业内外网最关键的安全防线就是防火墙,一方面防火墙阻止外网的未经许可的访问,另一方面实现对内网的安全防护。利用防火墙中的包过滤技术,可以实现对未经授权的访问流进行检索和控制。如判定数据请求的源地址、目标地质是否安全,数据传输端口是否正确;同时,防火墙还可以通过对传输数据的相关地址属性信息来判定数据包的请求是否合法,并进行优化处理; 另外,利用防火墙,还可以实现IP地址的转换,特别是通过地址映射技术,实现对内网网络中的IP地址进行虚拟化管理,实现对内网的安全保护。

 

(二)漏洞扫描及入侵检测技术。

 

对于网络安全的检测与管理,通常需要从漏洞扫描技术应用中,来发现本地网络及内部其他网络的安全脆弱性问题。特别是对网络系统内部各类运行行为的扫描,分析安全日志并监测不同内网用户的操作行为是否合法,并从系统平台的安全策略检测上,对可疑行为发出告警。如利用分段入侵检测来检查网络系统安全防护结构的完整性,提升内网安全管理效度。

 

(三)网络安全防护技术。

 

从内网安全管理实践来看,网络安全防护技术主要通过对网络系统设备、软硬件系统进行正确配置和合理优化,来抵御可能存在的内网安全风险。如在操作系统登录管理上,利用授权账户管理,并从密码及有效期限,以及操作权限上进行分级管理;在进行内网远程登录连接过程中,所有数据传输实施加密协议,如基于WEB的SSL、TLS加密技术;对于来自网络内的各类Dos攻击行为,利用路由器来设置拒绝服务模式,提升设备的可用性。

 

(四)防病毒软件技术。

 

计算机病毒是影响内网安全的重要风险,在病毒防御及控制上,需要围绕系统性、综合性特点来部署。由于病毒的发生具有随机性、动态性,在进行病毒防范上,需要结合病毒特征码、程序行为、关键字等进行检测,而病毒库的更新尤为重要。因此,在病毒防范技术上,一方面做好病毒库的升级更新,另一方面一旦发现病毒,需要从系统隔离、病毒清除、文件保护等方面进行处理,特别是针对一些常见的、恶意病毒,要实施全方位、多层次的病毒防御体系,确保每一台内网机器的安全。

 

三、结语

 

电力系统内网安全管理工作不容忽视,通过对内网安全管理中的问题进行分析,并从安全管理技术上,加强综合性防范。同时,内网安全管理要注重人的关键性,要不断加强安全意识教育,从制度上提升内网操作的安全水平,最大限度减少内网用户的安全威胁,保障内网的稳定、可靠运行。

篇3

关键词:电子政务 内网 信息安全 风险分析

一、前言

政务内网是指政府机关内部专门用于处理业务工作的办公网络,是政府部门内部工作联络、信息传递的现代化信息基础设施。其特点有二:一是与社会信息网络物理隔离、相对独立运行;二是涵盖政府部门用于执行政府职能的信息系统,所涉及的众多信息都带有保密性[1]。

电子政务给传统的政府工作注入了全新活力,大大提高了行政管理效率,改善了政府工作环境,增强了政府行政能力。目前,信息技术已渗透并服务于政府工作的各个领域,正在发挥着越来越重要的作用。但是,信息技术也是一把“双刃剑”,它在提高政府工作效率的同时,也引入了众多安全隐患。特别是在政务内网的信息化建设过程中,从人、管理、技术三个方面衡量,还存在着内部公务人员信息安全意识不高、管理措施不到位、技术手段不足、信息化应用推进与信息安全建设不够同步等问题。在政府信息化推进过程中,这些问题产生的后果有可能给不法分子以可乘之机,而使政府造成损失;严重阻碍政府的行政工作,甚至还会造成政府工作系统的瘫痪,直接危害国家安全。

在信息时代,由网络信息安全问题引发的损失将会全方位地危及一个国家的政治、军事、经济、文化、社会生活的各个方面,使国家处于信息战和高度经济金融风险的威胁之中[2]。保证网络安全运行已提升到维护国家、保护国家安全的高度。因此,如何解决信息安全问题已经成为整个电子政务构建过程中所面临的重要课题。

二、政务内网安全风险分析

随着网络规模的不断扩大,网络及应用系统所受到的安全威胁就越严重。由于政府部门许多应用系统开发建设时间较早,早期的系统开发设计中对信息安全考虑较少,系统较脆弱,所面临的安全风险较大。为了达到信息安全的基本目的,必须积极预防可能出现的针对政务 内网信息及其应用系统的各种安全威胁。主要的安全风险包括以下6个方面。

⒈内部人员主动窃密和破坏

一是内部工作人员利用工作、职务之便,将其能接触到的文件、数据、内部工作信息等提供给敌对组织和个人。二是内部人员有意或无意泄密,更改记录信息,内部非授权人员有意或无意偷窃信息,更改网络配置和记录信息,内部人员破坏网络系统,等等。据统计,来自网络内部的攻击占整个安全攻击总量的70%以上[3]。

⒉工作人员安全保密意识薄弱

少数工作人员缺乏基本的信息安全保密知识,不了解信息化过程中对应的安全风险,如内部口令互串;没有意识到信息安全问题不仅仅是职能部门的事,更是每个人必须遵守和维护的重要工作。在具体工作中,违规操作、有章不循、监管不力、“制度如林,落实无人”等现象大量存在。

⒊各种移动存储介质管理和使用混乱

对移动存储介质,移动计算机设备的使用上缺乏有效的监控手段,普遍存在随意处理各类密级文件、随意使用私人存储介质、随意拷贝文件的现象,如此造成知密面扩大,甚至移动设备丢失,直接造成泄密。

⒋对保密信息监管不力

各类电子文档在使用过程中有效的认证、授权使用和监管措施不够。电子文档不同于一般纸质文件,它的拷贝、复制和传递都具有特殊性。电子文档随意拷贝、复制,很有可能造成知密面扩大、文件丢失、文件被篡改甚至发生泄密事件。重要应用系统没有审计功能,或审计功能相对薄弱,对可能发生窃取行为、未经授权或越权使用资源的现象没有有效的记录和取证能力,无法满足事后追究责任的需要。

⒌技术措施不完善

一是在某些应用系统中安全性考虑不够,开发队伍缺乏保证应用安全的经验,应用系统配置和部署考虑安全性还不周到,对重要信息系统中数据的访问控制措施不够。二是内部网络系统由于文件交换等情况感染计算机病毒、网络蠕虫和其他恶意代码,直接造成系统破坏、网络瘫痪、数据丢失等。三是信息安全专职管理人员在数量上和技术上还不能满足政府高标准的安全保密工作需求,这就造成工作人员因人手问题而无法分权管理,因能力问题而不能提供有效保障。

⒍信息安全责任体系尚不健全

政务内网的信息安全责任体系尚不健全,存在各部门职责划分不清,多头指导、政出多门,建设和监督未能有效分离,检查督促不到位,出现问题难以落实到人等问题。这些问题造成内部管理混乱,责任不明确,技术措施不能到位,出现问题互相推诿等现象,严重影响政务内网整体的信息安全防范能力。

三、政务内网信息安全状况

基于以上安全风险分析,当前政务内网的信息安全综合保障能力与政府职能部门对信息安全保密整体要求仍有较大的差距,其突出表现在以下5个方面。

⒈内部工作人员的保密安全意识亟待加强

政府的工作性质决定了对工作人员有很高的保密要求,但是在日常工作中工作人员对信息安全问题还存在不少认知盲区,对网络信息不安全的事实认识不足,误认为政务内网实施了物理隔离就安全无忧了。不少工作人员的安全保密意识淡薄,这种有章不循、有禁不止的现象导致了很大的安全隐患。

⒉信息加密措施不能满足实际需要

加密是信息安全的核心,目前政务信息化建设正在不断深化,许多应用系统已应用于政务内网,越来越多的数据信息通过网络和计算机完成处理和交换任务。虽然目前已经对加密问题采取了一些措施,但加密仍是政务内网信息安全保密工作亟待解决的问题之一。

⒊信息安全组织管理、培训工作滞后

信息安全是一项管理工程,任何技术手段都需要管理来落实。目前政务内网的信息安全管理人员大多属于兼职,缺乏有力的组织保障以及系统和规范的教育培训。组织机构不健全严重影响了信息安全管理工作的落实,造成信息安全管理工作的滞后。

⒋信息安全整体防范工作薄弱

政务内网信息安全工作,仍停留在查缺补漏阶段,防范方式简单,对防范手段缺乏系统的梳理和体系化的规划建设,整体防范能力较低,普遍存在侥幸心理,没有形成主动防范、积极应对的全民意识, 更无法从根本上提高网络监测、防护、响应、恢复和抗击能力。这种状况已不能适应政务工作信息化的需求[4]。

⒌缺乏有针对性的信息安全防范技术措施

政府业务应用各类多样,其保密要求高,社会上通用的技术手段远远不能满足其安全需求;急需与之相适应的各类专用安全保密技术措施。

四、政务内网的安全需求

政务内网的安全需求主要包括以下一些方面:

⑴需要与外部社会公共信息网络实施严格的物理隔离或物理隔断;

⑵政务内网需要保护核心网络免遭非信任主体的外部干扰或篡改,或者其安全功能被非信任主体旁路[5];

⑶需要提供访问控制机制,确保对核心网络的不信任连接进行控制与防范,对各类共享信息的安全和有序访问;

⑷需要提供信息在网络系统间的加密传输,保护其机密性和完整性的方法;

⑸需要提生证据的方法,该证据可用于抗抵赖服务;

⑹需要能唯一标识网络用户,在允许用户访问应用系统服务之前通过相应的身份鉴别;

⑺需要授权结果的有效性,确保授权数据源不能被非授权用户访问;

⑻需要提供集中的病毒检查和控制机制,确保所有内网主机系统和数据对病毒的侵扰具有预警和防范能力;

⑼需要提供与安全相关事件的记录和审计手段,并根据事件分析进行预警和防范的能力;

⑽需要提供管理和配置内部网络系统的安全措施,只有获得授权的管理员才能使用这些措施;

⑾需要提供相应的系统及数据备份机制。

五、政务内网信息安全防护对策

⒈强化安全教育

信息安全是电子政务开展各项工作的前提,更是维系工作的关键。信息化和信息安全的建设,需要带着安全保密意识来统一规划、规范指导、有效监管。信息安全是人、管理、技术的有机结合,其中人是根本,管理是关键,技术是保证。通过普及教育、专业培训等方式,对不同类型的人员进行相关的安全教育,要使所有公务人员都能充分认识到“人是安全信息系统的重要组成部分”,没有安全可靠的各级人员的参与,任何信息系统都是不安全的。越是对授予较高权限的人员,越要增强其安全意识。

⒉强化安全管理

建立信息安全责任体系,严格落实岗位责任制,建立全过程、全寿命的信息安全机制。通过加强组织保障、加强管理运行、加强针对措施、加强技术手段来减少人员违规操作和犯错误的机会。相关策略有:建立信息安全运行管理体系,以网络管理中心、审计与风险分析中心、检测与监控中心、CA中心、密钥管理中心、防病毒管理中心等为依托,分别对有关的安全机制进行统一配置和管理,汇集有关信息,并通过对汇集信息的分析做出行动决策;以严格的管理使技术措施发挥作用,以技术手段强化安全管理,使管理钢性化,形成威慑,不给不法分子以可乘之机,严防各类安全事件的发生。

⒊强化安全技术

⑴针对内部人员对网络信息系统的随意访问现象,可采取指纹、智能卡、网络身份认证(PKI/CA)等多种强认证方式实现身份认证和授权管理,保证内部信息的合法使用;

⑵针对内部人员随意拷贝、打印文件,安装、使用与工作无关软件等行为,可采用内部安全监控和审计技术,控制出入口,以保证信息的受控使用;

⑶针对信息的传输加密问题,在链路层和网络层可使用国家密码管理局批准装备使用的密码设备;

⑷针对网络和重要数据库的访问审计薄弱,可采用网络与数据库审计系统,记录所有用户的使用行为,以保证事后追查;

⑸针对网络中的非法访问、攻击和病毒传播等问题,可采用防火墙、入侵检测、防病毒等多种技术手段,以保证基础网络系统的安全;

⑹针对移动介质的使用管理混乱问题,可采取标识和鉴别技术,保证工作用移动介质的授权使用,统一编码,统一管理,同时禁止私人移动存储介质在内部信息系统使用。

六、结束语

在政务信息化推进过程中,信息安全风险分析及信息安全防范工作,是一项长期而复杂的系统工程。各级公务人员必须时刻牢记和必须做到:将安全保密理念贯穿于整个系统的生命周期,保证政务内网在规划、建设、测试、验收、运行、维护、升级以及废弃的全过程中都能处在一个符合规定要求、可接受的低风险状态。

参考文献:

1 杨敬.电子政务中的信息安全管理[J].内蒙古科技与经济,2007(16)

2 李彦辉,王述洋,王春艳.网络信息安全技术综述[J].林业劳动安全,2007,20(1):25-29

3 朱卫未.电子政务系统信息安全策略研究[D].合肥:中国科学技术大学,2006

4 陈淑兰.电子政务安全问题探讨[J].沿海企业与科技,2007(8)

5 吴晓平.PKI_CA在专用信息系统中的建设及应用研究[D].成都:四川大学,2006

作者简介:

篇4

【关键词】电力企业信息安全管理;组织管理;失误因素

1 电力企业信息安全管理中组织管理失误的分析方法

电力企业信息安全管理中的组织管理失误分析法(英文:Cognitive Relia-bility andErrorAnalysisMethod,即CREAM),是可靠性分析法的典型代表,具有追溯分析功能。通过CREAM的应用,可以将失误事件的外在表现形式称为失效模式,并且将引起这些失误事件的直接原因定义为前因。实践中,前因可分为具体的前因、一般性前因,CREAM分析法是以失效模式作为出发点。首先,通过分析失效模式的一般前因、具体前因,得到失效模式前因表,在表中选定一个前因作为后果,然后分析引起这一后果的可能前因,最终得到包含这一后果、可能的前因追溯表;再以该可能前因为后果,分析可能的前因,通过连续不断的寻找,最终找到引起事件失误的根本原因。

2 在电力电力企业信息组织管理过程中,开展多项管控措施、分三步走

第一步,从思想上加强重视。实践中,应当认真学习贯彻违规外联、外网邮箱发送的要求,严格按照“业务工作谁主管,保密工作谁负责”以及“统一领导、分级负责”的原则,将信息安全保密职责有效地落实到人,让每个员工熟悉、掌握保密工作的基本要求和规范。

第二步,深入检查,全面整改。实践中,应当严格按照检查内容检查,一定不能留死角、搞形式。在检查中发现的问题,要立即纠正,认真整改,对存在严重问题的单位要监督整改,并组织复查;发生泄密、违规问题时,一定要严肃查处,必要时还要追究责任人的责任。

第三步,严格管理,务求实效。要进一步落实保密工作责任制,坚持标本兼治、系统治理,把检查活动与日常保密工作安排结合起来,边检查边整改,以查促管、以查促改、以查促教、以查促防,确保检查取得实效。

3 电力企业信息系统安全管理的必要性

电力企业信息系统安全管理,是企业在一定范围内建立起来的信息安全目标和方针,并通过努力完成目标。对于电力企业信息安全管理而言,可表示为方法、目的、基本原则和实施过程等要素集合,作为直接的信息安全管理结果。2014年8月,某技术质管部专责高某通过电子邮箱将创新成果--《电力设计企业基于桌面云技术的信息》以附件形式经压缩、更名后在没有经过加密的情况下,发送到某部门专家评审组;由于附件内容出现“保密”等敏感词,该邮件被公司外网邮件拦截系统拦截。经现场查实,邮件均不涉商业秘密,但违反了“工作邮件只限于公司内网邮箱发送”规定。由此可见,电力企业信息系统安全管理工作非常重要,也非常有必要。通常情况下,电力企业信息安全管理工作主要包括制定信息安全管理的策略,合理、科学的对电力企业信息安全工作进行组织管理,具有非常重要的作用。电力企业应当提高全体员工的信息安全意识,加强电力电力企业信息内外网安全管理。第一,内、外网电脑都必须安装三种软件,即北信源、天以及趋势杀毒。软件有内、外网版本之别,而且客户端也不同;第二,遵守专机、专网之规定,内网电脑不能与外网相连接,外网电脑不能连接内网,家用电脑不能接入内网使用,尤其是来历不明、使用背景不明的电脑,一律禁止接入内网系统。

4 电力企业信息安全管理中组织管理常见失误

近年来,随着市场经济体制改革的不断深化,虽然电力企业信息安全管理水平有了很大程度的提升,但电力企业信息安全管理过程中依然存在着一些问题与不足,总结之,主要表现在以下几个方面:

第一,信息安全措施和技术手段不成熟。对于大多数企业而言,在信息系统建设过程中欠缺完善的安全手段和措施,严重影响了安全措施的制定与执行。

第二,电力企业信息安全风险控制不到位。实践中可以看到,很多企业在信息化规划与建设过程中,对信息安全的前期分析比较欠缺,将分析对象主要集中在技术层面研究上,很难有效解决企业安全信息系统操作失误、缺陷与不足等安全问题。

第三,信息安全意识不强,缺乏有效的安全管理机制。对于部分企业领导层而言,对信息安全的重视不够,对潜在的各种风险和安全隐患问题分析不到位。

5 电力企业信息安全管理体现构建的有效策略

基于以上对当前企业安全管理中的问题分析,笔者认为要想减少和控制电力企业信息安全管理中组织管理失误现象, 应当根据企业实际生产运营状况,以IS027001信息安全管理体系标准为基础,从组织、技术、管理以及运行和监督这等方面入手,对现有的信息安全管理架构进行改进和完善,增加运行、监督环节。

5.1 提高对电力企业信息安全的认知度

针对企业员工对信息安全知识掌握不足的现状和问题,通过宣传、教育和培训等方法,提高企业全体员工对信息安全的认知度。首先,加强信息安全宣传教育。电力企业信息安全宣传的目的在于让全体员工清楚地认识到信息安全管理工作的重要性,了解信息安全管理目标,以此来提高企业员工的信息安全管理意识。

5.2 建立健全信息安全审计机制

内部审计是对电力企业信息安全管理体系建设与实施情况的评价,定期组织审计活动,以此来促进安全管理体系的改进与完善。企业的信息安全政策、规范制度是信息安全管理工作得以有效开展的重要依据,因此审计工作的主要内容是检验信息安全标准的符合性、执行情况。在审计过程中,主要包括如下内容,即检验是否按照要求制定规章制度、执行细则;检验员工对的规章制度执行状况,对审计结果的整改落实情况进行核查;同时,还要对信息安全控制措施的应用效果进行全面检查,确保评估的有效性。

5.3 建立和完善信息安全风险管理制度

信息安全风险,即威胁利用系统弱点对相关信息资产造成破坏、损失的可能性,信息系统安全与否,主要取决于其风险是否己在现有措施条件下实现了最小化,而非绝对没有风险。

篇5

关键词 管理;信息;安全;违章

中图分类号:X934 文献标识码:A 文章编号:1671-7597(2013)20-0163-02

随着科学技术的发展,信息化的进程越来越快,并在电力市场经济环境的促使下,供电企业开始加大自身的信息化建设,信息安全管理逐步得到完善。作为新时代的一员,每个人都自然而然的成为了信息化的一部分,所以信息化同时也影响着社会上的每个人,信息安全管理的问题也成为了人们最关切的问题。

1 信息安全管理的目标描述

1.1 信息安全管理的理念

信息安全就是要确保信息内容在存取、处理和传输过程中保持机密性、完整性和可用性。信息安全包含信息本身(数据)的安全和信息系统的安全。其中,数据安全就是防止数据丢失、防止数据被窃取,防止数据被篡改;信息安全就是要保证系统安全稳定运行,确保有权使用系统的人能顺利地使用,无权使用该系统的人无法访问它。

1.2 信息安全管理的范围和目标

1)信息安全管理的范围。海安县供电公司信息安全的范围包括:信息系统网络、业务应用系统及数据库服务器、计算机终端、桌面终端、移动存储介质等全方面的管理控制。

2)信息安全管理的目标及目标值。海安县供电公司信息系统安全管理严格按照上级单位要求,巩固公司信息安全防护基础,强化安全风险预控手段,提高应急反应和处置能力,确保网络与信息系统安全的万无一失。公司信息安全管理主要包括以下指标(见附表)。

2 信息安全分类考核的主要做法

2.1 建立信息安全分类考核机制的目的

为贯彻国网以及省市公司关于信息安全工作的管理要求,确保信息系统安全稳定运行,加强公司员工信息安全责任意识,界定信息安全违章行为,进一步明确考核细则,海安县供电公司借鉴生产安全的管理制度,出台了《海安县供电公司信息安全违章考核办法(试行)》。

2.2 信息安全分类考核的依据和原则

依据国家电网公司、省市公司信息安全考核管理工作要求,以“谁主管谁负责、谁使用谁负责、谁用工谁负责、谁是设备主人谁负责”为原则。

2.3 信息安全违章行为界定

违反国家信息安全有关法律和法规;违反国家电网公司和省市公司信息安全管理规章制度。

2.4 信息安全违章行为的分类

2.4.1 一般性违章(III类违章)

1)部门及人员未按公司要求及时签订《信息安全保密承诺书》。

2)计算机未按规定安装运行公司统一的防病毒软件、补丁更新策略、桌面终端管理软件等。

3)未按要求使用安全移动存储介质进行内外网信息交换;擅自删除或破坏已注册安全移动存储介质内的管理软件。

4)擅自卸载(含格式化)本单位规定安装的操作系统和业务应用系统客户端。

5)计算机未按要求进行注册或注册信息与责任人信息不一致。

6)在公司所有工作场所的计算机终端上做任何与工作无关的事情(如游戏、看电影或电视剧、聊天、炒股等)。

7)违反上级公司信息安全管理规定被认定为一般违章的其他行为。

2.4.2 较严重违章(II类违章)

1)计算机维修未按公司要求送至指定的电脑公司处理导致与工作有关的信息外泄。

2)计算机和硬盘更换或报废未按相关要求送至公司安全运检部进行规范处理。

3)在计算机上安装双网卡或双操作系统,进行内外网切换;私自拆卸与混用内外网计算机硬盘。

4)私自开启文件共享导致共享文件被非授权访问、破坏或造成泄密。

5)擅自更改计算机网卡的MAC地址或网络端口以及在网络设备上私拉乱接。

6)计算机、移动存储介质、应用系统、内网邮件系统未设置登录口令;设置了登录口令,但口令长度低于8位且不是由大写字母、小写字母、数字或符号中至少3种组合构成;使用系统内的通用密码;擅自新增用户,未按安全密码要求设置密码。

7)未按规定设置密码被桌面终端系统监控报警并经调查认定为弱口令事件。

8)未经许可在计算机上架设网站、游戏服务器、论坛等非正常网络应用服务。

9)在非计算机中存储和处理及通过互联网传输国家、公司的信息。

10)内网计算机私自带出公司。

11)擅自组建无线网络并接入信息内网。

12)干扰他人正常工作行为,包括:不真实信息、垃圾信息;散布病毒及木马;未经授权或通过口令猜测和破解等手段使用他人设备、系统、邮箱等。

13)擅自在内网计算机中安装黑客程序、端口扫描或漏洞扫描软件并使用其进行网络扫描或攻击破坏。

14)内外网计算机同处一室,经查实仍未按要求进行整改。

15)违反上级公司信息安全管理规定被认定为较严重违章的其他行为。

2.4.3 严重违章(Ⅰ类违章)

1)未经公司安全运检部安全检测和许可,擅自将计算机(含公用、私用笔记本、长期未使用的计算机、仓库报废的计算机、外来人员的计算机)等接入信息内、外网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

2)在内、外网计算机上利用无线上网卡、WIFI或具备上网功能的手机和PDA等设备访问互联网,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

3)手机与内、外网计算机相连,用于充电、同步或收发短信(彩信)、邮件等,被桌面终端系统监控报警并经调查认定为内网违规外联事件。

4)违反上级公司信息安全管理规定被认定为严重违章的其他行为。

2.5 信息安全违章的督查

1)各类人员必须严格执行信息安全规章制度,遵章守纪。各部门、供电所(含工程队)必须认真开展自查自纠,对于发现的违章行为,严格按照“四不放过”的原则认真分析和严肃处理。实施四级信息安全日常管理制度,即个人每日一查、班组每周一查、部门每月一查、公司每季度抽查,并对管理不到位的相关责任人及管理人员进行考核。

2)对违章的查处采用专项督查、日常检查及应用工具软件检查相结合的方式进行。公司将对违章行为及相应责任者进行曝光,以使责任者和广大员工受到教育。

2.6 信息安全违章的处罚

1)处罚标准。

①I类违章:10000元以上或待岗处理。

②II类违章:500-2000元。

③III类违章:200-500元。

2)违章处罚的对象为公司全体员工(含农电人员),包括社会化用工、承(分)包单位人员、外协人员等。

3)连带责任考核。

连带责任考核标准:因管理不到位,视管理到位情况对相关部门、供电所(含工程队)的负责人、管理人员、班组长等进行考核。

4)对于信息安全反违章处罚的认定、处理有异议的,可逐级向上申请复议,最终以公司安委会的认定为最终结果。

5)一年内发生一起及以上严重违章,取消该部门、供电所(含工程队)当年度的先进集体评选资格。

3 评估与改进

3.1 信息安全违章分类考核的评价

参照生产安全中的管理方法,建立信息安全违章分类考核机制,有利于公司全体员工信息安全意识的灌输、宣传、培训,培养了良好的信息安全使用习惯,提高了全员信息安全技能水平,使信息安全意识深入人心。

建立信息安全违章分类考核机制至今,海安县供电公司信息安全工作获得省市公司的普遍认可与高度评价,没有发生一起违规内网外联事件。

3.2 信息安全管理的提升

1)加强信息安全防范工作。

近几年来,公司对信息化的依赖程度越来越大,对信息安全工作也越来越重视,信息化水平也取得了高速的发展,但同时也出现病毒泛滥、网络端口扫描、恶意软件、信息外泄等威胁,企业信息和企业信息系统未经授权被访问、使用、泄露、中断、修改和破坏。为适应不断变化的信息化工作,通过管理手段和技术手段强化信息安全管理工作非常必要。

2)持续提高运维人员业务水平。

随着信息技术的发展,公司信息化水平的提高,对信息系统运维人员的技能水平提出了更高的要求。因此,为适应信息系统运行与维护工作的需要,公司信息系统运维人员的技能水平和综合业务水平应该持续加强。

3)进一步加强员工信息安全意识。

加强对信息化人员的培训和全员信息安全意识宣传,通过多种渠道普及网络与信息安全相关知识。安全意识和相关技能的教育是公司安全管理中重要的内容,应当对公司各级管理人员,用户,技术人员进行安全培训,减少人为差错、失误造成的安全风险。

4 结束语

生产安全是供电企业生产管理的根本,而信息系统安全是供电企业安全生产的基础。许多生产安全管理中的制度、措施和办法,值得我们在信息安全管理中借鉴。

参考文献

[1]林世溪.电力企业网络信息安全防护体系的建立[J].华东电力,2010.

[2]杜新光.电力安全生产管理中存在的问题及其解决措施[J].中国电力教育,2009.

篇6

[关键词]财政;信息系统安全;寿光

1寿光财政信息系统应用现状

(1)网络情况。寿光财政信息网络分别部署互联网(俗称外网)、财政内部专网(俗称内网),并对内网和外网实行物理隔离,其中内网纵向连接部、省、市级财政及乡镇财政,横向连接各预算单位、商业银行等相关职能部门。现连接到寿光财政内网的单位达175个,计算机终端278台,均实行实名注册认证管理。(2)业务系统部署情况。寿光财政目前运行了财政一体化平台(市本级)、财政一体化平台(镇街级)、四方志诚账务系统(市本级)、四方志诚账务系统(镇街级)、非税收入系统、国有资产管理系统、财政CA身份认证系统、基础设施建设资金管理系统、政府投资建设项目管理信息系统、部门预算系统、部门预算基础信息系统、寿光市财政局内部网站、FTP网络存储系统、OA办公自动化系统、通软安全桌面系统、电子监察等16套业务系统。(3)硬件设备配备情况。寿光市财政局现有科室15个,计算机使用人员119名,实际配备计算机160台、打印机100台,开通网络接口160个(外网接口100个、内网接口60个)。

2存在的问题和面临的风险

(1)信息安全设备投入不足。在财政业务系统建设过程中,只重视基础设备的标准和配置,忽视网络安全建设在信息系统中的重要性,安全设备的投入不足。在系统建设中,只看到了信息化建设带来的便利和快捷,忽视了信息化建设的信息安全问题,未对信息安全采取适当的防范措施,致使信息化发展存在安全隐患。(2)专业人员配备不足和安全管理制度更新不够。信息系统安全管理人员配置相对较为紧缺,尤其是关键岗位未配备多人共同管理;在安全管理制度方面,不能根据系统实际运行状况和变化及时进行制度更新。(3)软件使用规范性不强。在操作系统、办公软件和防病毒软件应用中缺乏网络安全意识,安装使用不规范的现象比较普遍。同时,使用人员不能及时为杀毒软件升级和为操作系统下载补丁,从而存在一定的网络安全隐患。(4)信息安全防范意识不强,安全保密意识差。干部职工对当前信息安全形势的严峻性缺乏足够认识,全员防范、主动防范意识较为薄弱,执行安全制度还存在不到位的现象。许多财政干部职工对网络安全知识非常欠缺,例如有些人认为内网比较安全,不存在病毒攻击,为了提高电脑运行速度,将杀毒软件卸载,这样将最基本的网络安全措施都取消了。部分人员没有做到专网专机专用,存在违规使用U盘和内外网违规切换使用的问题;有的系统操作人员不及时更改密码,极易造成数据丢失等安全隐患。(5)存在违规接入和非法外联风险。一些单位与个人没有经过财政授权直接将计算机接入财政内网,虽然非法接入不是暴力入侵,但会给财政内网带来极大的威胁,尤其是有可能带有病毒的计算机与移动设备的非法接入,很可能会造成在内网传播病毒、移植木马等严重后果。同时,财政内网本身是与外网物理隔离的网络,不允许连接互联网,但个别单位用户为了上网办公方便,使用一些手段(如人工切换)建立互联网非法连接,从而绕开内网的连接限制,给财政内网系统安全带来巨大的隐患,会导致病毒入侵、泄密甚至网络瘫痪的后果。

3安全风险控制对策与措施

系统安全问题一直是一个先发现问题,再补救问题的过程。建成一个绝对安全的网络是不可能的,但我们要保证及时发现问题,第一时间解决问题。根据财政部对财政信息系统安全建设和财政业务专网网络安全接入提出的“可控性、可管理型、可用性、安全性、规范性”相关原则要求,针对我市财政信息系统的现状和存在的信息安全方面的问题,我们提出如下对策和措施,严格执行财政业务网络与其他网络的隔离限制,严格移动终端接入管理,加强客户端防护、入网身份鉴别、数据传输等安全问题管理,以全面提升我市财政信息系统的整体安全保障水平。(1)加强信息安全投入,提高安全防御能力。第一,加大信息安全资金投入。增加综合日志审计、防病毒网关、入侵防御、运维审计等信息安全设备投入,防止网络的恶意攻击,尽量使用安全级别高的技术或设备用于网络接入,增加硬件UKEY验证机制。在设备中做好安全验证及网络传输加密设置,至少保证将用户与计算机硬件互相绑定,从而缩小操作人员的操作环境,提高安全系数。第二,强化技术支持。严格控制接入用户的网络接入方式,禁止内网用户连接其他网络,禁止使用无线网络产品。并在系统设置中记录用户的登录时间及基本操作内容,做到出现安全问题时有据可依。第三,加强网络与信息安全人员的培养和激励。加强财政信息系统的日常技术和安全知识培训,提高对计算机病毒及恶意程序的防范意识,提高网络安全保密意识。加强财政信息系统管理人员和使用人员的业务培训,使财政工作人员掌握常见的网络信息安全知识和防范技能,提高信息安全问题的处置能力,提升信息专业技术能力。(2)建立健全信息系统安全管理制度。第一,切实做好信息设备和信息系统安全制度管理更新工作,维护财政信息设备和系统环境安全、稳定、健康,根据信息安全法律、法规的有关规定,结合寿光财政工作实际,及时建立健全寿光财政信息设备和信息系统安全管理制度,通过对原有安全管理制度及时进行修订和新增,使安全意识贯穿于日常财政系统业务操作中,提升财政信息系统的防范能力,保障财政业务系统的安全、稳定运行。第二,建立健全财政信息系统内部控制制度。根据内控有关管理规定,从信息系统建设管理、信息系统流程控制管理、数据管理与应用、信息系统安全管理等四个方面建立健全内部控制管理制度,提升信息安全意识,确保安全防护技术或管理措施到位,提升财政信息系统自身抵御外部攻击能力,确保财政资金安全有效运行。(3)完善和健全计算机软件管理制度。第一,在新购、更新计算机等硬件设备时,全面预装正版操作系统软件、办公软件和杀毒软件。第二,要切实增强知识产权意识,按照谁使用、谁负责的原则对使用的软件资产进行登记管理,不随意下载、安装、更换软件,保证已使用的正版软件得到有效维护。第三,健全资产管理制度。制订软件资产管理制度,健全计算机软件配套购买和使用登记制度,将软件作为资产纳入财政资产管理体系,强化软件的购买、安装、更换、使用、报废等管理工作。(4)实施财政客户端安全监控管理系统应用工作。对与财政专网相连的预算单位、人民银行及银行终端全部启用财政客户端安全监控管理系统进行管理,实施“3+1”管理策略。“3”是指准入管理、补丁修复、非法外联策略,“1”是指终端PC实名制。实现所有预算单位,银行等使用财政专网计算机专网专机使用,保证了财政专网的安全性。(5)加强安全宣传和培训,强化财政信息和网络监管力度,建立财政信息安全管理责任制。第一,突出安全宣传和培训,强化专网监管力度。信息系统安全防护全部靠技术手段是做不到的,更重要的是加强日常的安全宣传和培训,增强使用人员信息安全的防范意识和责任意识。第二,加强日常维护,建立定期巡查制度,及时了解和掌握信息系统运行状况,及时排除出现的不安全因素和故障,变“事后处理”为“事前预防”。加强日常检测检查、管理维护,及时了解信息系统正常运行情况,建立网络安全巡查检查记录,定期进行设备维护,及时了解和掌握设备运行中存在的问题,做到巡查有记录、检查有目标、查后有改进,从源头上构建一张严密的“信息安全网”。第三,建立健全网络与信息安全防范工作责任制,财政内网电脑全部实行IP地址与网卡MAC地址绑定,确定每个使用人员是相关直接责任人,明确信息安全责任,保证网络信息安全管理工作的正常开展。长期以来,我国对重要网络和信息系统安全保护重视不够,没有在法律中做出明确规定,导致单位在信息安全方面的责任存在缺位,许多针对性工作由于缺乏依据无法顺利开展。随着《中华人民共和国网络安全法》的正式实施,明确将重要网络和信息系统等关键信息基础设施纳入国家重点保护范围,对其运行安全进行详细规定。这是我国首次在法律高度提出关键信息基础设施概念,并对关键信息基础设施保护提出具体要求,是我国在关键信息基础设施保护方面取得的重大措施,将国家关键信息基础设施网络安全提升到一个新的局面,也对寿光财政信息系统安全提出了新的要求。

篇7

关键词:终端管理;安全;应用

伴随邢台烟草业务发展和业务信息化建设的深入,现有网络规模不断扩大,连入邢台烟草内部网络(内部网络全文简称内网)的计算机数量逐年增加。随之而来安全问题与日俱增,不单单只是影响了内网用户自己,更为严重的是可能导致网络瘫痪,从而使整个业务不能正常开展。面对上述安全隐患,邢台烟草采用终端安全控制技术,部署内网终端安全管理系统,加强对网络终端的统一安全管理,保护内网的安全。

1邢台烟草内网现状

邢台烟草内网由机关网络和19个下属单位网络两部分组成,与外网物理分离。市公司机关网络采用双星形网络架构,核心设备有冗余。中心机房服务器及房服务器核心交换机、机关楼层网络直接接入核心交换,下属单位网络通过路由器接入核心交换。机房在关键出口和网段都部署防火墙、入侵检测、防病毒网关等安全设备。大部分用户终端安装网络版的杀毒软件,采用静态固定IP地址访问网络,没有任何接入控制措施。因为终端引发的内网安全问题不断出现,除了危害终端自己外,更为严重的是可能导致网络瘫痪,影响信息系统的正常运行。

2邢台烟草内网安全建设需求

2.1终端合法性验证需求

由于现有网络没有准入控制,外来设备的接入无法控制,只能靠规章制度管理。假如这个漏洞被外来人员或者木马利用,就可以访问内网任何资源,也可进行任何攻击,或者窃取公司的重要的数据和信息。这使得在网络入口进行身份认证显得尤为必要,确保只有合法身份的用户才能进行正常的网络访问。

2.2终端安全性判断需求

公司内网存在一定量的不符合安全策略的终端(比如如补丁更新不及时、未按要求装防病毒软件、病毒库升级不及时、系统配置有缺陷等)计算机,一旦被攻克,很可能带有各种各样的安全缺陷,导致网络或系统瘫痪。

2.3降低终端管理需求

当前对终端的管使用人工管理,造成网内终端软硬件资产统计费事费力,难以及时跟踪终端设备的资产变化,造成设备管理的混乱。由于没有升级服务器,也不能上外网,现有系统升级包和补丁分发升级完全依赖人工,不但人力成本投入大,而且导致升级时间滞后,存在很大的安全隐患。因此,采用部署终端管理技术进行集中管控,使信息人员有更大精力投入到安全中来,减轻运维压力。

2.4支持多种准入控制方式需求

考虑到未来不同的终端设备(桌面终端、手机、平板等)需要不同的应用场景或技术限制,需要网络支持不同的准入控制技术去适应不同的终端设备,以确保网络准入控制的覆盖率。

3邢台烟草内网终端安全管理系统的实现

3.1系统架构

内网终端安全管理系统主要由上层的网络准入层、中层的控制层和底层的终端管理构成。由终端的客户端进行集中的身份验证、安全扫描等;运维人员可以在中控分析报告、配置安全标准和管理策略;底层的终端管理实现远程维护、补丁管理、软件定制、资产管理等功能对终端设备集中管控。

3.2系统部署方式

该系统硬件由核心服务器、准入控制器、补丁服务器、无线控制器和无线接入点构成。相关的硬件安装在旁路,不需要改动当前的网络拓扑,没有形成新的络故障点。由于大部分网络设备支持802.1x,并且它的认证方式的控制力度强,因此终端设备采用802.1x认证的方式接入网络,。

4邢台烟草内网终端安全管理系统应用效果

通过内网终端安全管理系统应用实现了对所有终端进行管理和控制,符合邢台烟草适合当前信安全息工作需要,为信息安全管理提升提供了技术支撑。

4.1有效的保护了内网的边界

内网终端安全管理系统不依赖于现有网络基础架构,旁路接入,使现有的网络无需做任何改动,实现集中的管理用户终端对其所访问网络的限制。而终端想要接入到内网时,内网终端安全管理系统首先强制验证身份,否则无法获得使用网络的权限;然后身份验证没有问题的终端也必须评估终端的健康状态;最后是只有合法身份并且符合管理要求的终端方能访问内网资源。为减少对网络资源的占用,定期检测终端的安全状态,对不合规的终端按照实际的需要,系统提供一定修复的机制,从而达到防护内网边界的目的。

4.2方便了信息资产管理,减轻了运维的压力

终端的管理是一项费时费力的工作,通过该系统对资产实现了统一管理,统计工作简单了,可以实时关注信息资产的变化。面对对数量众多的、最难以管理的桌面终端建立了安全加固、集中维护的安全管理体系,当出现问题时,通过远程控制协助处理,减少信息人员的工作强度,降低了维护成本。

4.3使用了多种管理手段,提高安全能力

内网终端安全管理系统把网络管理延伸到了使用者的终端,通过终端管理、策略管理、补丁管理、安全管理等功能,有效的切断了绝大多数病毒传播途径,缩短了对系统补丁从到安装之间的时间差,实现了对用户终端的统一管理和控制,大大地增强了终端的安全系数,使内网的安全进一步强化。5结语内网终端安全管理系统整合了准入控制和终端管理这两种技术,实现了内网管理从路由交换层延伸到网络接入层,增强了终端的安全,从而整体提高网络的安全性能。该系统从多个方面满足对于信息安全防护的需求,将成为邢台烟草信息安全防御体系中重要的一环,为信息安全工作打下了坚实的基础。

参考文献

[1]杨永兴.网络准入系统在供电企业的应用研究[J].信息通信,2017(1)

[2]胡海波.网络准入技术研究[J].中国信息化,2014(7).

篇8

关键词:网络 非法外联 安全

1.海口航标处内部网络建设现状

在现今大数据和“互联网+交通”的背景下,我国航海保障管理逐渐走上了信息化和智能化的道路。海口航标处作为交通运输部航海保障中心的重要组成单位,其业务也积极向信息化、智能化转变。为保障单位计算机内部网络和重要业务系统的安全稳定运行,海口航标处逐年进行了一系列的制度、管理和技术方面的网络升级工作。目前,处属计算机内部网络部署了防火墙、网闸等网络边界安全设备,内部网络和互联网之间通过网闸实现物理隔离,为信息网络的安全防护起到了积极的作用。

2.处属计算机内部网络非法外联存在的安全风险

随着业务系统的信息化应用广泛普及,海口航标处计算机内部网络应用日益复杂,主要体现在网络分布广泛、终端数量庞大、业务应用系统越来越多、航标业务对网络信息化依赖也越来越大,因此保障内部网络环境运行安全、稳定成为重要问题。目前海口航标处主要采用网闸设备将内、外网络实施物理隔离,确保两个环境之间无信息传输的物理通道,理论上说可以保证内部网络信息不发生外泄。但在实际管理中发现,大部分信息安全问题主要来自于内部终端用户的非法外联行为引发。由于海口航标处内部网络只在边界安装了网闸和防火墙,内网用户群目前的入网方式是自动获取IP式,全网无实时安全监控设备,而网络应用的日益多样化和存储介质的不断普及,诸多安全隐患日益显现。

2.1非法外联的概念

非法外联是指内部网络计算机在未授权的前提下,通过网络设备建立一条内部网络与外部网络的通路。非法外联行为有很多种,如拨号上网、双网卡上网、GPRS等行为。正常情况下,局域网会有一个统一的出口,即由网关来跟上级网络进行联结,其局域网是封闭的,不允许联结互联网,局域网用户是安全的。但从另一个角度来看,安全是以受限制为代价的,局域网用户为了达到某种目的,采用其他方式非法联结互联网,该联结的风险是使主机同时暴露于内网和外网。

2.2处属内网存在的非法外联行为的安全风险分析

(1)内网用户通过360无线路由、热点路由终端、无线网卡拨号等方式,将内网终端连接至互联网,造成内外网共联,易造成病毒感染、敏感信息泄密等安全事故发生。

(2)外来设备(例如笔记本电脑、PAD等)可人为随意接入内网,造成病毒传播、信息泄漏等信息安全事故。

(3)随意安装来历不明的应用软件,形成众多隐形“后门”,容易造成数据外泄。

(4)移动存储介质内外网交叉使用,由此造成的病毒泛滥和攻击服务器致使瘫痪事件。

(5)内网用户群目前的入网方式是自动获取IP式,全网无实时安全监控设备,存在内外网终端非法互联无法监控,容易造成内网信息外泄。

2.3非法外联的危害

内部网络用户的上述非法外联行为破坏原本封闭纯净环境,造成内、外部网络之间存在网络信息传输的可能,这将使内部网络面临着木马病毒的入侵、隐形“后门”非法监控软件的植入和恶意暴力破解,从而导致单位内部网络的日常运营存在重大的安全隐患。

海口航标处承担着辖区内航标建设养护、管理等技术支持和服务保障职责。目前海口航标处的重要业务均已实现网络信息化管理,因此网络环境的安全尤为重要。以当前航标遥测遥控系统为例,该系统主要通过内网部署监控平台,从而实现对环岛灯塔、灯浮标的灯器远程测控,为航行的船舶提供航道和方向指引。一旦非法外联行为造成黑客或者木马的入侵,极有可能对监控中心发动攻击破坏,那么有可能出现篡改系统参数设置,造成系统为灯器发送错误指令,导致灯器的不正常运行,这将严重威胁到船舶的安全航行。再如号称海上守护神的AIS系统,目前海事监管部门通过AIS应用推广系统对海上船舶进行实时监管,该系统的二次应用数据库也是建立在海事内网环境,一旦因非法外联行为造成攻击进入该系统数据库篡改数据,发送恶意指令,而该系统可以直接与海上船舶进行通信,将会造成重大安全事件。

因此,针对于上述安全隐患问题,急需采取相应的手段,合理化解决问题。

3.防止非法外联的措施

内部网络安全本质上是一种管理需求,目的是使单位的各项工作任务在信息化工作模式下能够安全的进行,管理是主要方式。首先应从人为管理角度建立网络安全管理体系架构,其次要依靠符合单位实际网络安全的先进技术管理手段,实现全方位管控,杜绝安全隐患问题,全面保障内网安全。

(1)建章立制,落实网络安全管理责任。近年来国家高度重视网络安全工作,要做好处属内部网络的安全管理工作,就必须遵照国家信息安全法律法规、政策要求和安全标准,结合本单位工作实际,建立切实可行的信息安全管理责任制,完善信息安全保密保障体系,提高单位网络信息安全防护的正规化水平,遵循“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,做到一机一管,责任明确到人。

(2)部署完善内部网络的有效监控技术手段。针对海口航标处内部网络网络设备的架构存在的安全隐患,建议从如下几方面完善技术部署:一是建设内网终端管理系统。海口航标处内部网络除了边界安装防火墙、网闸等安全设备,应该要部署一套内网终端管理系统,强制要求每台内部网络终端需安装终端管理系统,

实现从内网网络环境安全管理与终端桌面安全管理,从网络到终端,从终端到数据,有效保障处属网络以及终端的安全运行,为管理者制定内网统一安全管理策略提供有效的技术支撑和服务;任何访问单位内网需要对终端进行安全管理,对接入内网的终端进行合法性与安全性检查,对访问终端必须经过统一的安全认证,只有合法且安全的终端才能允许接入内网,达到对非法终端和未知终端进行严格阻断控制的效果。二是加强对IP地址的管理。建议更改当前内网IP地址自动获取入网方式,通过上网行为控制设备的上线,将每台终端的mac地址与与固态IP进行绑定,落实一人一机责任管理。三是部署审计系统。针对服务器或重要终端设备的操作行为进行监控和审计,从而保障信息系统安全运维,如有篡改做到有迹可查,通过审计日记及时发现漏洞,对不规范行为进行整改。四是对移动存储介质进行统一管理。根据目前处属病毒监控报表显示,移动存储介质是造成木马入侵的重要途径。建议部署一套针对接入内网环境的移动存储介质的安全认证系统,任何移动存储介质需通过该系统进行安全认证登记后,方可进入内网终端操作,这样一旦出现安全事件,结合现已部署的病毒网络安全中心,可及时找到病源,从而采取有效举措处理威胁,杜绝外来移动存储介质的乱插乱用现象。

(3)加大计算机网络安全检查力度。要定期、不定期对处属内、外网络终端进行安全检查,重点检查以往信息安全检查中发现问题的整改情况,做到及时发现问题和隐患,及时进行排除和整改,全面化解风险。认真做好服务器、网络设备、安全设备等安全策略配置及有效性;做好重要数据传输、存储的安全防护措施等工作,确保处属网络信息系统安全稳定运行。

(4)积极开展信息网络安全宣贯工作。要将网络安全管理列入全年信息类培训计划,以计算机网络信息安全应用知识和操作技能为基础,通过举办讲座、警示小视频等多种形式,切实加大对全体干部职工的培训教育力度,普及安全知识,从而树立“信息安全无小事”的意识,达到增强干部职工的安全防范意识和风险应对能力的目的。

4.结语

随着信息网络的迅速发展,在当今的信息时代,信息技术已经彻底改变我们的生活和工作方式,也改变现行航保事业的管理模式。面对着航保业务的信息化、智能化层次越来越高,我们必须加强网络与信息安全意识,将网络信息的安全管理工作提升到一个新的高度,在信息安全的建设中遵循PDCA的循环模型进行不断完善,从而为航保业务提供安全可靠的网络基础平台,助力“智慧航保”的健康发展。

参考文献:

篇9

如果有人告诉你,目前国内内网安全管理产品有130多个品牌,千万别不相信,你只要在互联网上搜索一下就会相信这个数字。北京圣博润高新技术股份有限公司总经理孟岗告诉记者,他就统计过,这个数字只多不少。如此多的品牌在同一市场里竞争,可谓是鱼龙混杂。虽然大家不乏有各自的特点,但总体上看低水平的复制和竞争状况非常明显,鲜有旗帜性、标杆性产品。于是,国内的内网安全管理市场,就形成了人们常说的“红海”。

内网安全“红海”的形成

内网安全问题总是先被一些信息化程度较高的政府部门和企业所重视起来,这是软性需求,而硬性需求估计才是导致内网安全厂商数量如雨后春笋般增长的原因。早在2006年,国家推出的《信息安全等级保护管理办法(试行)》就开始正式实施。《试行办法》将我国信息安全分五级防护,第一级为自主保护级,第二级为指导保护级,第三级为指导保护级,第四级为强制保护级,第五级为专控保护级,对信息安全进行分级保护是国际上通行的做法。此次实施的《试行办法》规定涉及到国家安全、社会稳定的重要部门将实施强制监管,他们使用的操作系统必须有三级以上的信息安全保护。由于有了国家的强制性监管,很多原本对于安全警惕性不够高,信息化投入力度不够的部门,开始重新审视和规划内网安全管理问题,同时也使得国内外内网安全厂商看到无限的商机。

同时,据市场调研机构的数据显示,随着内网安全市场需求的增加,未来5年中信息安全市场将以23,3%的复合增长率增长,到2012年我国内网安全的市场规模将达到53,54亿元。不难看出,内网安全市场作为一个极具潜力的新兴市场,得到了厂商和用户的众多关注,但是由于内网安全是一个相对宽泛的概念,相关标准的缺失致使各厂商推出的内网安全产品千差万别,这对于急于构建完善的内网安全体系的企事业单位造成了不少障碍。

尽管陷入“红海”,国内外安全厂商的境遇仍有不同。随着全球金融危机影响的到来,国家推出4万亿扶持资金带动各行业信息化发展,也给内网安全带来很多机会。例如,地铁建设项目、能源行业、铁路运输等。

但是,在参与这些项目的竞标过程中,很多项目负责人,仅仅凭借着品牌印象直接选购国外产品,使得国内安全厂商无法与国际安全厂商享有同等机会。孟岗指出,安全是关系到国际民生的问题,所以。最好是以国内厂商为主。而且从技术上来说,国内外内网安全产品已经无明显差距,只是在成熟度上稍微欠缺,需要在用户使用过程中不断完善,如果不能获得公平的机会,那么对于国内安全厂商的发展将非常不利。

内网安全进入洗牌阶段

面对来自国内外安全厂商所形成的具体竞争,如何远离红海,唯有创新和贴近用户体验的产品才能驶出“红海”。同质化竞争的问题就在于,产品功能很多,但是只有功能而缺乏管理,用户体验感差。记者曾经采访过一位用户,他希望内网安全不再是单一的产品,而是一个有机组合的整体。而数量众多的国内小型的安全厂商,他们只能给出一些功能,却难以保证企业真正的安全。

通常,一个市场陷入红海有几个原因:技术门槛过低、创新容易被抄袭。而杀出红海的做法,一般有两种,一种是并购一些竞争对手,另一种是不断地推陈出新,使得竞争对手无法模仿。在内网安全领域,如何创新呢?圣博润的总经理孟岗一直在思考这个问题。

孟岗表示:“我们现在所能做的就是,持续扩大我们品牌的影响力,不断的提高产品的质量。”2009年初,圣博润在深交所OTC市场上市,成为国内内网安全专业细分领域唯一一家上市的企业,受到了资本市场的重点关注。同时,在产品上,抛弃以前功能繁多的方向,转而谋求在内网管理上的用户体验和安全管理的理念。

2009年12月,圣博润推出内网安全管理系统LanSecS的2010版。在孟岗眼中,这个版本,具有不同于以往的意义。他打趣说,要打造一个诺亚方舟,驶出红海。孟岗强调:“新版本中加入管理思想,从全局出发,是其他同类产品所不具有的特性。”他希望这个版本是帮助圣博润驶出内网安全红海的诺亚方舟。

圣博润公司自2008年上半年开始启动LanSecS2010版的开发项目,投入50名开发人员,历经一年半时间完成开发。下面是这款产品的突出特性。

首先,分布式负载均衡和动态性能调整。LanSecS 2010版最吸引人的地方之一是产品架构的高度优化和随之带来的显著性能提升。

其次,全面支持主流数据库和Windows 7操作系统。LanSecS 2010版是第一个宣布支持国际主流商业数据库、主流开源数据库以及国产数据库等多种数据库类型的内网安全管理产品。

第三,统一的内网身份管理。与其它同类产品不同,LanSecS 2010版采用了全网统一的身份管理设计思路。

第四,强大的内网安全态势分析。LanSecS2010版的内网安全态势分析可为用户内网环境的安全状况以及安全变化态势提供准确可靠的关键指标数据支持,从而为用户进一步采取相对应的安全措施和管理手段提供更加科学的决策支持。

篇10

企业信息系统网络安全面临的主要威胁:①操作系统的安全性;②防火墙的安全性;③来自内部网用户的安全威胁;④采用的TCP/IP协议族软件,本身缺乏安全性;⑤应用服务的安全,许多应用服务系统在访问控制及安全通讯方面考虑较少;⑥网络设施本身和运行环境因素的影响,网络规划、运行管理上的不完善带来的威胁。

2网络信息安全方案实施

通过对化工企业网络信息安全现状的分析与研究,我们制定如下企业信息安全策略。庆阳石化的计算机网络主干采用千兆以太网络光纤技术,实现数据中心核心交换机与管控中心、中央控制室、生活区汇聚层交换机间的高带宽连接;厂区各区域接入层交换机与汇聚层交换机间采用千兆以太网光纤实现高速连接;接入层采用千兆以太网双绞线技术,实现千兆到桌面。各业务服务器全部采用千兆以太网络光纤或双绞线技术,实现与核心交换机的1000M连接。同时为保护办公网络及本地内网间数据安全,需设置区域网络隔离控制及公网访问安全控制。

2.1防火墙的实施方案

从网络整体安全性出发,运用2台CISCOpix535的防火墙,其中一台主要对业务网和企业内网进行隔离,另一台则对Internet和企业内网之间进行隔离,其中DNS、邮件等则是针对外服务器连接在防火墙的DMZ区以及内网与外网之间进行隔离。

2.2网络安全漏洞管理方案

当前企业网络中的服务器主要有WWW,邮件,域以及存储等,除此之外,其中还有十分重要的数据库服务器。对管理工作人员而言,他们无法确切了解服务器系统及整个网络安全缺陷或漏洞,更没有办法对其进行解决。因此,必须依靠漏洞扫描的方法对其进行定期的扫描、分析以及评估等,对于过程中存在的部分问题及漏洞及时向安全系统发送报告,使其及时对安全漏洞进行风险评估,从而在第一时间内进行解决,增强企业网络的安全性。

2.3防病毒方案

当前企业主要运用的是Symantec防病毒软件,主要是对网络内的服务器及内部的计算机设备进行全面性病毒防护。同时,在网络中心设置病毒防护管理中心,使局域网内的全部计算机处在一个防病毒的区域之中。此外,还可以运用防病毒管理域的服务器针对整个领域进行病毒防范,制定统一的反病毒策略,设置场扫描任务调度系统,使其进行自动检查与病毒防范。

2.4访问控制管理

必须实行有效的用户口令及访问限制制度,一次来确保网络的安全性,致使唯独合法用户进行合法资源的访问设置。与此同时,还需要在内网的系统管理过程中严格管理全部设备口令(口令之中最好有大写字母,字符以及数字等),切记不可在不同的系统上采用统一性的口令,否则将会出现严重的故障问题。实施有效的用户口令和访问控制,确保只有合法用户才能访问系统资源。

3企业网络信息安全管理

3.1完善网络信息安全管理机制

在当前企业网络运营过程中,必须确保其信息安全管理的规范化。只有将企业网络与信息管理的安全性纳入生产管理体系,才能使企业网络得以正常运行。此外,还必须加强建设网络和信息安全保证体系中的安全决策指挥、安全管理技术、安全管理制度以及安全教育培训等多个系统,并实施行企业行政正职负责制,进一步明确各个部门的责任等。

3.2建立人员安全的管理制度

必须了解企业内部人员录取、岗位分配、考核以及培训等管理内容,提高工作人员的信息安全意识,才能确保企业内部信息安全体系的有效进行,为企业未来的发展奠定基础。

3.3建立系统运维管理制度

明确环境安全、存储介质安全、设备设施安全、安全监控、恶意代码防范、备份与恢复、事件处置、应急预案等管理内容。

3.4建立系统建设管理制度

篇11

【关键字】 桌面终端 补丁 准入管理 综合网管

防患于未然――这是一句古话。这句话用在信息网络安全中最能体会。

随着信息化建设的逐步深入,网络结构日趋复杂,信息系统趋于多元化,信息安全面临许多问题,如内外网安全、主机安全、应用系统安全、物理环境安全、桌面终端安全成为信息化建设的重中之重。桌面终端任意接入,安全策略得不到统一和有效控制,对资产信息采集统计与远程监控手段不足,用户行为难以控制,存在引发信息安全事件的风险,终端维护成本较高等问题制约和影响着信息化健康持续发展。科学、合理的构建和完善信息安全防护体系成为解决信息安全的有效途径。

如何将信息安全隐患降到最低,如何抵御病毒、黑客的入侵,如何安心使用网络这都是在信息行业中醒目的问题。

桌面安全管理系统是一个完全集成的模块化桌面管理解决方案,可以管理企业所有Windows平台设备。涵盖了策略管理中心、设备管理、远程协助、移动存储介质管理等模块,对信息网络安全起到了重要的作用。

设备和资产管理

随着公司企业的发展,IT产业也在不断扩展,终端设备增加了不少。作为IT管理员,要将不同配置,位置分散的PC机等相关设备进行统一管理,把设备台帐做好做细是件比较费时的事情。

在桌面管理系统里,每新增一台终端设备,不管是PC机还是其他办公设备等,只要设有IP地址,分配了部门,在终端上注册了桌面管理系统,都能在桌面安全管理系统内监测到。并且终端机的详细参数配置、进程、安装软件等都能一目了然,这对设备资产管理有很大的帮助。

远程协助和成本控制管理

桌面管理系统内的远程协助,可以帮助网络管理员远程运维电脑终端,这样不仅降低了故障响应时间也提升信息运维人员的工作效率,还可通过系统内的点对点控制,远程取得计算机的安装程序,应用进程,系统版本等关键资料和使用状况。

远程控制使工程师在任何内网接入的工作场所就能对任何出现的故障做出迅速的反应并处理问题。这方面大大节约了工作人员的时间,降低了运维成本。

桌面管理系统补丁管理

桌面终端管理系统重要的补丁下发功能可为公司内网终端自动下发并安装最新的系统补丁,使系统保持最安全的运行方式,可以根据各种计划任务,或者根据批处理策略统一下发下载补丁。当系统监测到有终端未安装补丁时,可对缺少的补丁进行重新下发。并能够对补丁下载及安装的情况进行查询,避免因病毒侵袭及应用系统漏洞而导致损失。

违规外联准入管理

针对违规外联进行全面整改,不仅出台了公司违规外联事件整改方案,而且在管理上加强力度。一是做到定期病毒及安全使用公告,禁止手机联入内网充电;二是定期开展信息安全知识教育培训,将违规外联原理、违规外联的严重性、可能发生违规外联情况公示;三是全网粘贴内网计算机标签标识,杜绝违规外联误操作。四是违规外联坚决执行公司的规定,惩治力度决不放松。

防非法外联系统在终端连接内网前,通过安装准入系统认证客户端对计算机进行健康状况检查,是否安装防病毒软件,是否安装桌面管理系统,对不满足安全要求的终端禁止分配内网合法IP地址,当用户完成入网的要求后,准入系统会自动识别系统状态并分配合法的内网IP地址,完整用户终端的准入流程,并通过桌面管理系统下发防违规外联IP策略,进一步控制非法外联的发生。

移动存储介质管理

移动存储的随意接入网络或者丢失出现信息数据泄密的都对信息安全造成很大威胁。桌面管理系统内的移动存储管理可大大提高移动存储的安全性。通过桌面终端管理系统能够安全的进行移动存储的管理,防止信息泄密事件的发生,杜绝因移动存储介质泄密对内网安全的威胁。

双数据区交互使用:专用U盘支持交换区和保密区。交换区在分配相同桌面标签的计算机上支持口令登录使用;保密区在分配相同桌面标签的计算机上受限制使用,在不同标签的计算机上无法使用,插入即会报警。

综合以上几个模块的功能,作为管理员能充分体会桌面管理系统在信息网络安全中的起到的强大作用。

参 考 文 献

[1]徐沛沛.统一桌面管理系统建设分析与研究 电力信息化 2012(10)

篇12

在网络与信息技术高速发展的时代,计算机信息管理系统在各医院的经营管理中发挥着重要作用。计算机信息安全系统在带来方便的同时,也存在一定安全隐患。鉴于此,本文主要探讨了如何加强医院管理系统信息安全的策略进行了探讨,以保障医院工作的高效、安全进行。

【关键词】

医院管理系统;信息安全;策略

近年来,医疗体制改革日渐深入,社会对医院的管理水平与服务质量的要求也在提高,加上医院规模不断扩大,患者数量增加,医院信息管理也迎来了新的挑战。同时,信息技术手段的进步与发展,为医院进行信息管理提供了便利,但也存在许多问题,特别是信息安全方面的问题,严重威胁到了医院各项信息安全及完整性,影响医院各项工作的开展。所以,加强医院管理系统信息安全管理,对保障医院各项工作的正常进行具有积极作用。

1内部硬件的安全管理

在医院系统的内部硬件安全管理中,主要是对网络服务器、工作站及交换器等内部硬件的安全管理[1]。对于这些设备,必须对其进行安全管理,并对网络进行优化。在服务器与储备设备的管理中,应该形成数据管理,如保证电源故障管理的积极运作,促进网络的正常运用。为了保证系统的安全运行,关键是做好防护工作。因此,必须形成标准建构,以最大程度地保证网络安全。在硬件方面,应避免相同设备出现问题,并在数据库服务中应用集中管理系统,如硬盘选用的是磁盘阵列式,可实现在短时间内进行切换,促进整个系统的安全运用,除此之外,还应实施双路管理,即一路为UPS系统,一路使用市电,以保证服务器与网络设备的正常运行。

2网络安全管理

进行网络安全管理,主要是为了避免计算机受攻击,包括主动攻击与被动攻击。在网络正常运行的状态下,医院系统信息被截取、破坏、窃取的情况时有发生,对计算机网络与数据都造成了很大损伤[2]。网络攻击会对内网与外网都构成巨大安全威胁,故必须增加投入,改善网络安全,防范人为恶意攻击,最大限度地保证医院信息安全。基于上述认识,必须对网络安全管理予以高度重视,并在管理与技术方面加强沟通,形成有前瞻性的管理策略,以实现对网络信息安全管理的目的。

3软件系统管理

对操作系统的管理,主要是做好正版操作系统的补丁工作。例如,在屏幕保护工作中,应将数据暴露于桌面。在对软件系统进行管理时,需形成多个分区,然后分别放置操作系统、重要数据及应用系统。在管理过程中,要把多余的网络协议、服务等删除,并将不必要端口关闭,实现默认管理,并形成锁定注册表管理。需要注意的是,在医院信息系统的网络管理工作中,应将内网与互联网隔开,不可在内网中形成互联网链接,以保证内网操作系统的精准性与可靠性[3]。在杀毒软件管理方面,安装的软件必须是正版软件,并定期升级、杀毒,以保证病毒库安全。情况需要时,可利用辅助软件进行杀毒处理。对于流行性新兴病毒,应做到定期查杀,并实现对软件的实时监控,且要求在在下载升级后先杀毒再使用,与现行系统环境相结合,在促进软件升级与改善测试环境的条件下做好管理工作,保证系统的安全运行。

4数据库安全管理

在医院系统信息管理工作中,数据信息的安全管理是核心部分。做好数据库安全管理工作,可有效保证数据的安全,实现对数据的查询,并保证数据在安全存储中的合法访问,构建基础访问权限。例如,在Oracle数据库管理中,应重视并认真做好用户区别与密码保护工作。比如,在进行SYS与System特殊账户管理工作中,应严格控制网络上的DBA权限,预防远程访问[4]。对于日志文件、DBA查看警告、定期检查等,应加强监控与管理,以便第一时间发现与解决问题,实现对数据库碎片及可用空间的管理。在数据库管理中,还应对链接情况进行定期查看,并将不必要的链接清理干净。在对网络服务与网络硬件进行检查时,应保证硬件的正常运行。在开展周围性数据库管理工作时,应有较完善的数据库恢复预案。对于数据库而言,防止病毒入侵也是安全管理的一项重要内容。在医院信息安全管理中,病毒问题是威胁信息安全的重要原因,对医院各项利益均产生了很大威胁,故必须采取有效的防病毒措施。具体来说,应认真做好以下几个方面的工作:(1)认真做好数据备份工作。病毒入侵会导致数据被窃取与篡改,故应对数据进行备份,特别是重要信息,即便病毒入侵也能保证数据的完整与安全。(2)保证操作系统的安全。盗版系统的稳定性较差,且往往存在较多漏洞易被病毒攻击,无法保证信息的安全性。因此,所选系统应为正版,且要求管理人员应注意查看系统官方消息,加强系统更新与维护工作,以最大程度地保证系统的稳定性。(3)提升工作人员的安全意识。医院应定期组织对工作人员的信息管理安全教育,使工作人员树立正确的安全意识,并掌握常见的系统安全问题处理方法,以保证系统信息的安全性。(4)安装各种杀毒软件及其他防护软件,加强信息管理系统的软件屏障功能,并定期更新与维护,以保证系统的正常、安全运行。

5加强应急管理,完善事故处理预案

医院应根据实际情况制定有效的应急方案。一方面,医院平日应对相关工作人员进行专门培训,保证每位工作人员熟悉紧急预案的流程及具体措施,以便发生紧急事件时能够从容面对,将损失降至最低。另一方面,加强应急演练。医院应定期对工作人员进行各种应急演练,并根据存在的问题进行整改,以保证应急方案的实用性与针对性,减少安全事故造成的损失。除此之外,为了避免意外破坏而导致信息丢失或网络瘫痪,应在平时做好数据备份工作,并定期在服务器端进行一次联机全备份与数据恢复检验工作,以确保备份的可靠性与有效性。

6结语

总而言之,在医院信息化建设不断推进的情况下,信息安全成为医院高度重视的一个问题,因为医院信息安全事关医院、患者的切身利益。基于当前医院管理系统信息安全的情况,医院应积极采取有效措施,如加强内部硬件管理、网络安全管理、软件系统管理及数据库安全管理等,以保证医院系统信息的安全性与完整性,促进医院各项工作的顺利进行。

作者:李瑶瑶 单位:江苏省盐城市射阳县中医院

参考文献:

[1]韩盼盼.加强医院信息管理系统安全的若干策略[J].计算机光盘软件与应用,2014(24):191,193.

[2]余晋辉.医院计算机网络信息系统安全问题策略探究[J].世界最新医学信息文摘,2015,15(86):172~173.

篇13

关键词:信息 安全

1.现状分析

当前海口航标处信息化网络主要分为海事内网(简称内网)与互联网(简称外网),内网与外网之间通过网闸设备实现物理隔离,外网安全设备主要有防火墙、上网行为管理设备;内网安全设备主要是防火墙设备。内网、外网均有网络版杀毒软件中心。在整个网络体系中,已经在互联网出口边界部署防火墙、网闸等安全设备,但是网络安全防护是一个体系,在网络终端防护、全网安全监控等方面还比较薄弱,主要体现在以下几个方面:

(1)网络没有安全区域划分。由于缺乏网络安全区域划分,在内网中,办公用户与业务服务器之间访问没有任何控制措施。业务服务器是重要数据存储区域,需要加强该区域数据保护。

(2)缺乏网络准入防护。内网中没有部署网络准入系统,对于外来用户,只要获取到IP地址,就可以访问内网业务服务器,为了保证内网用户,业务服务器的安全,需要对外来用户进行准入控制,分配访问权限,入网安全检查。只有合格的用户终端才能访问内网。

(3)缺乏网络检测系统。对于整个内网中用户相互之间的访问行为、用户与服务器之间的访问行为,不能有效实时监控,当内网中用户终端之间存在相互感染,没有任何网络预警措施。

(4)服务器或者用户终端漏洞无法检测。内网中没有部署补丁服务器,内部用户也没有及时自动打补丁,导致各个用户终端存在着系统漏洞,业务服务器也没有及时更新操作系统补丁,也存在很大的网络风险。

2.安全需求分析

当前网络安全需求主要有以下几个方面:

(1)建立有效的安全区域防护。根据航标处本身网络系统实际安全需求,进行合理的安全域划分和分区域安全防护设计、实施,通过一定的技术手段,对区域内和区域间的流量行为进行逻辑隔离和防护,对恶意代码和黑客入侵进行阻隔,保护区域间的安全。

(2)部署终端安全管理系统。终端安全管理系统对内部网络的终端电脑进行统一管理和策略下发,以达到通过技术手段对终端电脑的操作行为和运行状态的可控、可管,防止终端用户随意接入网络和任意操作而造成的数据泄密事故的发生。

(3)针对全网实现可行的行为分析。通过此次安全系统的建设,对全网流行为进行全方位、多视角、细粒度的实时监测、统计分析、查询、追溯、可视化分析展示等。有效管理和发现流量的异常波动行为,并能及时发出预警机制。

(4)部署安全审计系统。内网中可能存在内部系统维护人员对业务应用系统的越权访问、违规操作,损害业务系统的运行安全,或者员工随意通过网络共享文件夹、文件上传下载、EMAIL等方式,发送重要敏感信息、业务数据,导致信息外泄事件发生。因此为了能够有效发现违反安全策略的事件并实时告警、记录、定位,最终实现追踪溯源,需要部署网络安全审计系统。

(5)战略发展要求。信息系统安全已上升到国家战略层面,为此,应加强信息安全建设,有效提高信息安全保障能力和水平,以保障和促进信息化健康有序发展。

3.建设方案

(1)建设目标。按照处信息化整体规划方向,结合信息安全现状,参照当前主流网络安全、信息安全技术,建设一个安全可靠、可扩展、可管理运维的一体化信息安全防护支撑系统,同时建立一套有效、可持续性的信息安全管理流程与制度。

(2)建设内容。航标处安全防护体系建设项目包含以下内容。检测防御类系统:防火墙系统、网络入侵防护系统、网络入侵检测系统;安全评估类系统:漏洞扫描系统;安全监管类系统:安全审计系统、堡垒机系统、企业安全管理系统;终端管理系统: 终端安全管理软件。

(3)方案详细设计。

①网络拓扑图如图1。

②具体设计内容

・防火墙系统

在内网服务器群区出口处部署一台防火墙设备,桥接模式部署,实现内网服务器群区与其他区域之间逻辑隔离,保护内网服务器免受其他区域不安全终端电脑的感染。

・入侵防护系统

在内网服务器群区域出口处串接部署一台网络入侵防护系统,针对日趋复杂的应用安全威胁和混合型网络攻击,适应攻防的最新发展,准确监测网络异常流量,自动应对各层面安全隐患,第一时间将安全威胁阻隔在服务器群区域外部。

・入侵检测系统

网络入侵监测系统旁路部署在核心交换区域核心交换机上,通过核心网络镜像,把所通过核心的所有网络访问进行监测,检测与智能分析系统对于病毒、木马、蠕虫、僵尸网络、缓冲区溢出攻击、DDoS、扫描探测、欺骗劫持、SQL注入、XSS、网站挂马、异常流量等恶性攻击行为有非常准确高效的检测效果,并通过简单易懂的去技术化语言帮助用户分析威胁,对威胁进行有效处理。

・安全审计系统

安全审计系统旁路部署在核心交换区,通过核心网络镜像,把所通过该汇聚的所有网络访问进行审计。基于网络行为、数据流内容等多个层次,实现对用户上网行为的精细化审计;支持“零管理”技术从实时升级系统到报表系统,从审计告警到日志备份,所有管理员需要日常进行的操作均可由系统定时自动后台运行。系统提供全面的事件日志信息的备份、恢复、清除、归并等功能;并提供基于时间、IP地址、用户、事件类别等条件的检索功能;

・堡垒机系统

安全审计系统堡垒机旁路部署在安全管理上,通过运维管理人员通过访问该系统进行单点访问操作系统、数据库等,通过该设备进行运维管理与审计,有效管控内部人员操作的安全隐患、第三方维护人员安全隐患、高权限账号滥用等所带来的风险。实现自然人对资源的统一授权,同时授权人员的运维操作进行记录、分析、展现,以帮助内控工作事前规划预防、事中实时监控、违规行为响应、事后合规报告、事故追踪回放,加强内部业务操作行为监管。

4.预计效果分析

通过对航标处网络系统安全防护现状的充分分析,结合业务系统的实际安全需求,对整个网络系统进行安全区域划分,实现区域之间相互访问控制,重点对外网区、内网服务器区、核心交换区进行安全防护建设,分别从网络安全、数据安全、终端安全三个方面进行网络安全规划,部署网络安全管理区,完善安全管理制度,在整个航标处网络系统中建立一体化安全防护体系。具体效果如下:

(1)安全区域划分。对整个航标处网络系统进行安全区域划分,实现业务系统区、访问用户、互联网出口、核心交换区之间相互访问可以权限控制。通过安全区域划分,为提升整个安全防护水准提供基础。

(2)提升网络安全防护水平。通过在外网区、业务服务器区部署防火墙、入侵防护系统等设备,提升互联网出口防护水平,保护业务服务器免受黑客入侵。

篇14

【关键词】电力企业;网络安全;防火墙;信息化管理

1.引言

电力企业网络安全中的防火墙设置为企业内部网络环境构建了天然的保护屏障,合理控制企业内的信息流,保障了电力企业信息化管理的安全与稳定,是当前局势下促进电力企业网络优化运行的必然举措。作为电力企业管理信息化体系的重要组成部分,网络管理制度的建设是对电力企业内部信息管理系统的有效整合,而防火墙的设置将网络信息化管理体系从自由开放的无边界网络环境中隔离开来,这对有效控制电力企业内部网络信息安全有着重要的现实意义。

2.电力企业内部网络安全的基本内容

2.1 信息安全

作为国家信息安全保障的组成部分之一,电力系统网络信息安全至关重要。采用防火墙隔离技术来对外网用户进行限制,通过身份识别的方式来保障电力企业信息安全问题,这些都是现阶段对电力企业网络信息化管理的有效改善措施。从信息安全角度出发,电力企业推动网络信息安全的途径主要表现为四个方面,即LAN隔离访问控制、WAN与LAN间的隔离控制、监控局域网安全访问行为以及针对MIS系统的安全管理与控制。

2.2 运行安全

电力企业网络信息安全依赖于控制管理系统的有效落实,通过对内外网络的即时监控来保障企业管理中的系统运行安全。运用防火墙隔离技术来实现对管理信息与自动化信息调度之间的分离,这时网络运行仅仅可以通过必要的数据单向传输来完成,而任何计算机是不能通过自动化操作来对系统信息进行获取或是修改,这对发挥网络控制装置的监督管理职能极为有利。

2.3 对外部黑客和病毒入侵的防范

除了系统本身的信息安全和运行安全之外,电力企业网络安全的内容还包括了对网络黑客及网络病毒的有效防范,这是由于病毒破坏或是黑客攻击极有可能对电力企业系统实时监控产生严重破坏,甚至还会引发更大规模的网络安全事故。利用网络安全漏洞黑客能够对企业网络信息肆意窃取,甚至动用非法手段来破坏企业内部的网络系统,通过网络窃听的方式来获取管理员密码,对网络设备进行攻击,这极易造成电力企业整个网络系统的瘫痪。

3.电力企业网络安全与内部网络防火墙技术的结合

3.1 防火墙的基本类型

3.1.1 包过滤路由器

包过滤路由器是企业内部网络中最为常见的一种防火墙类型,这一类型防火墙除了具备数据包转发的路由功能之外,还能够对数据包的内容进行过滤。包过滤路由器使用过程中,内网用户可以直接获取企业网络信息,而外网主机在对内网主机进行访问时却是存在访问局限的,其总体外部姿态表现为拒绝一切没有特别授权的数据包。

3.1.2 屏蔽主机防火墙

屏蔽主机防火墙由堡垒主机与包过滤路由器组合而成,这一防火墙的系统安全显然要优于包过滤防火墙系统,这是由于除了基本的信息安全保障功能之外,屏蔽主机防火墙自身的安全等级以及对于应用层安全管理的优越性也更加突出。外部入侵在进行网络破坏的过程中除了需要攻破网络层以外,还需要对应用层进行破坏,这样两种安全系统的同时存在显然极大地增强了网络信息的安全性。一般屏蔽主机防火墙的堡垒主机都位于内网之上,至于包过滤路由器装置则位于内外网之间,在对包过滤路由器进行设置之后外网访问只能局限于堡垒主机之上,而隔离了其余主机的信息,这就实现了对企业内部网络系统安全的实时监控。

3.1.3 DMZ或屏蔽子网防火墙

DMZ或屏蔽子网防火墙的主要构件部件为一个堡垒主机与两个包过滤路由器,从部件组成方面也不难看出这一防火墙类型的安全性能是最高的。这是由于这一防火墙类型在对DMZ网络进行定义的同时也体现出必要的应用层与网络层安全管理内容,在DMZ网络中放置了信息服务器、堡垒主机、Modem组及其余的公用服务器装置,这就使得内外网的信息控制更加完整。DMZ网络一班置于内部网络与Internet之间,对DMZ网络进行配置便可实现对外网操作的禁止与隔离。

3.2 电力企业网络安全背景下内网防火墙的选择

3.2.1 电力企业内网防火墙应当具备的性能

第一,电力企业内网防火墙选择除了基本的安全识别功能之外,还应当在信息加密处理、包过滤技术以及信息可信性甄别方面有所涉及。此外,针对电力企业防火墙的选择还应当拥有对用户身份的识别功能,对企业网络信息进行完整校验,并对网络控制进行必要的授权管理。

第二,在语言过滤方面防火墙的性能应当是灵活有效的,其过滤属性除了基本的协议类型与IP地址之外,还应就TCP/UDP端口表现出一定的过滤功能。

第三,从安全管理策略角度出发,内网防火墙的选择还应考虑到对服务机构的容纳性能,并及时更改自身的安全管理对策。此外,SMTP访问能力也是防火墙应当具备的功能,这对优化本地系统的安全管理性能极为有利。

第四,一旦防火墙使用涉及到Unix操作系统的内容,那么这时防火墙自身的安全问题就构成了防火墙安全防护功能的重要组成部分,这时的防火墙既要保证系统信息及运行安全,同时还应及时对自身的系统安全进行更新操作,避免系统故障等问题的产生。

3.2.2 安全政策的落实

在进行电力企业防火墙选购之前,还应建立必要的安全管理计划,从安全管理政策落实方面突出防火墙使用中的针对性。此外,防火墙的网络系统位置选择也是需要考虑的重要方面,这对于提高内网防火墙的风险水平抵御能力极为有利。

3.2.3 防火墙的特性比较

电力企业面对不同类型的防火墙,还需要对其基本性能进行比较才能更好地选择适合自身的防火墙类型。除了必要的安全管理性能与实用性之外,还应当就内部网络防火墙的经济性进行综合考虑,进而突出防火墙不同性能之间的相互补充。

3.3 关于电力企业内网防火墙的设置

电力企业网络安全与内部网络防火墙技术的结合是保障企业信息化管理安全的重要途径,因此企业在对防火墙进行设置时可将子系统隔离在防火墙的控制范围之内,类似企业内部的营销管理系统、运行控制系统或是信息管理系统等重要内容都应当形成各自部门内的单位内防火墙,这样的分段处理方式极大提升了防火墙对于网络安全的保障功能。这一防火墙功能体现依赖于企业内部管理规则的优化设定,因此在系统维护方面也应做到实时监控,切实解决电力企业网络安全防护问题。对于电力企业而言,网络安全环境的构建除了防火墙设置以外,还应对其系统架构进行合理规划,落实防火墙安全政策,从根本上促进电力企业内部网络信息环境的改善。

4.结束语

从当前电力企业网络信息化管理过程中存在的问题分析,电力企业的网络安全与网络本身的开放性特征有着必然关联,造成电力企业网络安全的因素来源于各个方面,这对电力企业内部网络信息安全及运行安全显然极为不利。电力企业网络安全与内网防火墙技术的结合可能会受到技术背景及安全管理策略等诸多方面的影响,因此电力企业在构建网络安全及防火墙设置问题上从来没有统一的路径,只有切实从网络机构安全的实际问题出发,才能更好地提升企业网络信息安全与运行安全,促进电力企业网络信息化管理的有序开展。需要注意的是,由于电力企业网络系统的动态化特征,因此防火墙的设置并不能从根本上解决其网络安全问题,类似系统错误配置、系统动态管理等环节也是当前电力企业内部网络安全体系构建中不容忽视的重要部分。

参考文献